工控安全分析人员通过部署工控仿真蜜罐来捕获针对工业资产的互联网扫描行为。针对西门子私有通信协议的高危扫描IP会被加入防火墙黑名单,以减少攻击面。日志分析发现针对西门子协议扫描最频繁的IP,并通过DNS查询确定其域名,进一步了解扫描组织。
工控安全分析人员在互联网上部署了工控仿真蜜罐,通过蜜罐可抓取并分析互联网上针对工业资产的扫描行为,将存在高危扫描行为的IP加入防火墙黑名单可有效减少工业企业对于互联网的攻击面。分析出日志中针对西门子私有通信协议扫描最多的IP,分析该扫描组织,Flag为该IP的域名,,flag形式为 flag{}。
拿到日志分析文件,使用paython脚本过滤掉这个文件
使它不重样
import fileinput
import re
import os
import shutil
def readIP():
with open(r'honeypot.log','r') as f:
for line in f.readlines():
result2=re.findall('[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}',line)
if not result2==[]:
result=result2[0]+'\n'
with open('ip.txt','a+') as w:
w.write(result);
def setIp():
a=0
readDir='ip.txt'
writeDir='newip.txt'
lines_seen=set()
outfile=open(writeDir,"w");
f=open(readDir,"r")
for line in f:
if line not in lines_seen:
a+=1
outfile.write(line)
lines_seen.add(line)
print(a)
outfile.close()
def readDNS():
with open(r'newip.txt','r') as g:
for i in g.readlines():
com=os.popen('nslookup %s'%i)
comm=com.read();
if comm.find('NXDOMAIN')==-1:
print(comm)
if __name__=='__main__':
readIP()
setIp()
readDNS()根据Windows的限制,可能存在一个无法使用dns的情况,毕竟不是权威服务器
所以可以拿站长工具去查询,或者IPIP工具去查询https://www.ipip.net/ip.html
查询到这个就应该是我们要找的flag
1109
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
