tpot蜜罐_一种工控蜜罐识别与反识别技术研究与应用实践

最新推荐文章于 2024-07-09 16:27:35 发布
最新推荐文章于 2024-07-09 16:27:35 发布
阅读量855 收藏 1
点赞数
文章标签: tpot蜜罐
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39660408/article/details/111675213
版权
本文深入探讨了工控蜜罐的识别与反识别技术,介绍了蜜罐的种类、常见蜜罐及其缺陷,详细阐述了通过IP地址、操作系统及MAC厂商指纹、指纹特征识别蜜罐的方法,并提出了蜜罐反识别策略,旨在提升工控网络安全防护能力。
摘要由CSDN通过智能技术生成

一、概述

本文章结合作者在资产探测、入侵检测、网络攻防、蜜罐研究相关工作中大量实践,在此对工控蜜罐识别与反识别的技术进行研究与应用实践与大家进行分享与探讨。

工控蜜罐通常指非真实工控设备,通常指应用服务、仿真程序等,比如服务蜜罐包括conpot、openplc、CryPLH2、仿真程序包括modbus tester、Mod Rssim、snap7、opendnp3、qtester104、DNP3_testhaness、EtherNetIP Virtual等。

二、蜜罐介绍

蜜罐是一种软件应用系统,用来称当入侵诱饵,诱导黑客前来攻击。攻击者入侵系统后,通过监测与预计分析,就可以知道他是如何入侵的,随时了解针对系统发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

蜜罐系统以伪装技术为基础,在用户内部网络中部署与真实资产相似的“陷阱”(蜜罐节点),当攻击者通过外部安全防御系统的缺陷渗透进入到内部网络时,通常需要搜索网络内部的资产,以此找到对攻击者而言有价值的目标。蜜罐节点自身的伪装性能够欺骗攻击者,当攻击者将蜜罐节点作为攻击目标时, 蜜罐节点能够第一时间感知并汇报安全事件,具体包括:蜜罐节点会记录攻击者的所有行为,系统也会产生告警,通知安全运营管理人员。蜜罐节点会诱骗攻击者将其他蜜罐节点作为后续的攻击目标, 所有蜜罐节点将组成“陷阱”网络,延缓了攻击时间,使得蜜罐系统能够记录更多的攻击信息,分析潜在威胁。

(1)蜜罐种类

蜜罐可以分为数据库蜜罐、web蜜罐、服务蜜罐、工控蜜罐及端点蜜罐,各种蜜罐对应的相关产品如下图所示:

4cb9cf671b2bbc992561bb94eeecfd62.png

(2)常见蜜罐及地址

T-pot蜜罐是一种融合了多种开源蜜罐服务的汇总,其中包括工控蜜罐conpot,所有蜜罐采用docker容器化方式部署与管理,关于T-pot的安装和使用可以参考freebuf相关文章,下图是T-pot蜜罐使用的系统架构图。

caae689ec43729f84600026e193a7bd8.png

(3)现有工控蜜罐缺陷

目前互联网上部署了大量的工控蜜罐,大多都是基于conpot蜜罐和仿真服务程序。这些蜜罐基本属于中低交互形式,蜜罐指纹特征通用、部署在云服务器上或者企业直接通过端口映射方式接入到互联网。

三、蜜罐识别方法

首先在192.168.10.100(windows安装仿真器)及192.168.10.122(linux安装部署openplc、conpot、tpot蜜罐仿真服务),安装方法可以参考freebuf相关文章。

(1)IP地址识别

一般工控设备如plc、dcs、rtu等很少直接暴

最低0.47元/天 解锁文章
weixin_39660408
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业部署T-Pot(20.06)蜜罐系统并使用
考拉研究僧的博客
11-06 4902
Debian10搭建T-Pot蜜罐系统(脚本) 一、安装Debian10 虚拟机 1. 版本说明 目前最新版t-pot项目基于Debian10构建,本文采用Debian 10 作为实验环境 2. 下载 清华大学下载源:https://mirrors.tuna.tsinghua.edu.cn/# 3. 安装 环境说明 虚拟机软件:VMware Workstation Pro 15.5 镜像:debian-live-10.6.0-amd64-standard.iso 虚拟机安装(略) 配置要求:参考T-
tpot蜜罐_实践.原创 | 开源蜜罐(TPOT 19.03.1)部署和使用
weixin_39597262的博客
12-22 1116
《网络安全法》自2017年6月1日施行以来,普法工作持续开展,公布的违法案例和公安机关的严肃执法不断刷新大家对网络安全的认知,逐渐知晓“履行网络安全保护义务”是落实网络安全保护责任的基本要求。传统安全工作多数按合规思路开展工作,对于监管明确要求的项目进行建设,欠缺对安全工作的主动出击,面对强大的“黑客”组织显得十分脆弱。《网络安全法》赋予公安机关执法权力,同时联合监管机关...
tpotce::honey_pot:T-Pot-多合一蜜罐平台:honeybee:
02-15
T-Pot 20.06在Debian(Stable)上运行,很大程度上基于 , 并包含以下蜜罐的dockerized版本 此外,T-Pot包含以下工具 轻量级的,用于docker,os,实时性能监控和Web终端的webui。 网络应用程序,用于加密,编码,压缩和数据分析。 可精美呈现T-Pot捕获的所有事件。 一个Web前端,用于浏览和与Elastic Search集群进行交互。 一个基于pyshark的脚本,从pcap文件和实时网络流量中提取网络元数据和指纹。 是一种开源智能自动化工具。 一个网络安全监视引擎。 TL; DR 符合。 T-Pot安装至少需要8 GB的RAM和128 GB的可用磁盘空间以及有效的(传出的未经过滤的)互联网连接。 从下载T-Pot ISO或。 将系统安装在或具有上。 享受您最喜欢的饮料-和。 目录 技术概念 T-Pot基于Debian(稳定
工控蜜罐发现
xumesang的专栏
02-23 1662
198. 20. 70.114    Shodan 71. 6.216. 34        Rapid7 169. 54.233.119   Credit Suisse Group / CANA 185. 35. 62. 11     Switzerland Group 85. 25.185.112     BSB-Service GmbH Germany 62. 75.207.109
信息打点web篇--端口扫描-waf识别-蜜罐识别
最新发布
2302_79590880的博客
07-09 1062
端口扫描,waf识别蜜罐识别
工控系统蜜罐建设与协议仿真技术分享
xumesang的专栏
03-02 3661
原文章:点击打开链接 0x1、简介 随着Eripp、Shodan、Zoomeye类似的网络空间搜索引擎先后的出现,网络扫描技术的发展和探测的增多,工控设备、物联网设备、基础设施等作为互联网的一部分,已逐渐被攻击者所重视。 从2010年的震网到如今的Havex,工控网络作为一个相对封闭的网络则出现了越来越多更具有针对性的攻击事件和恶意程序。有针对的模拟工控系统某些特
三种蜜罐的搭建与使用方法
12-19
本文主要讲述了使用三种方法:Defnet、Pentbox、Cowrie(后两种方法在kali上面完成),来搭建和使用蜜罐
基于Docker的自动蜜罐系统 _winnie(3).zip
07-06
基于docker的自动蜜罐系统,压缩包里包含代码和使用说明等
tpot.rar_T-PoT_ipod_tpot
09-19
标题中的"tpot.rar_T-PoT_ipod_tpot"表明这是一个与T-PoT相关的RAR压缩文件,特别提到了T-PoT是为iPod和iPhone设备设计的Total Commander文件系统插件。Total Commander是一款功能强大的文件管理器,而T-PoT插件则...
tpot19.03.iso
07-17
T-Pot蜜罐是德国电信下的一个社区蜜罐项目,是一个基于Docker容器的集成了众多针对不同应用蜜罐程序的系统,根据官方的介绍,每年都会发布一个新的版本。
tpot蜜罐_安全工具:开源蜜罐(T-POT 19.03.1)部署和使用
weixin_40008339的博客
12-22 1261
出自公众号:释然IT杂谈引言:那么,什么是蜜罐技术蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。例如,MHN现代蜜网就简化了蜜罐的部署,集成了多种蜜罐...
基于系统和网络特征的蜜罐识别技术
06-22
蜜罐是一个计算机系统,用来捕获来自网络的攻击行为!
tpot蜜罐_在GCP云端安装T-Pot蜜罐
weixin_39613385的博客
02-11 341
T-Pot is a honeypot platform built on Ubuntu with Dock technology.Latest version is 17.10 and OS is Ubuntu 16.04. The minimum systemrequirement is at least 2GB RAM and 40GB diskspace.There are some ot...
蜜罐
热门推荐
xumesang的专栏
03-01 1万+
原文章:点击打开链接 本文主要讨论蜜罐蜜罐网络,以及如何使用它们保护真实的系统,我们称之为这个系统为MHN(Modern Honey Network,现代蜜网),它可以快速部署、使用,也能够快速的从节点收集数据。 一、什么是蜜罐 蜜罐是存在漏洞的,暴露在外网或者内网的一个虚假的机器,具有以下这些特征: 1 其中重要的一点机器是虚假的,攻击者需要花费
工控蜜罐Conpot部署和入门及高级演变
墨痕诉清风的博客
12-20 4787
我大致地翻译了官方的介绍:Conpot是一个部署在服务端的低交互ICS蜜罐,能够快速地部署、修改和拓展。开发者通过提供一系列的通用工控协议,使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。为了提高这套蜜罐的欺骗性和迷惑性,开发者同时也提供了一个人机接口来增加这套蜜罐的攻击面。蜜罐的响应时间能够通过相关参数进行调节,由此模拟出当前负载下的响应时间。Conpot对协议栈有着完整的支持,因此它能够接收生产环境中的HMI或是直接拓展的真实硬件。
趋势科技搭建工控蜜罐系统
xumesang的专栏
05-18 1656
原文章:点击打开链接 Struxnet、Duqu和Flame都是大名鼎鼎的攻击工控、基建设施的恶意软件,这些软件如何实施攻击,它的攻击过程是怎样,称为了专家关注的焦点,为了更好的了解该类恶意软件,趋势科技进行了实际测试,并在欧洲黑帽大会上做了相关介绍。 趋势科技的安全专家们建立了一个模拟各种ICS/SCADA的蜜罐设备,并且能够与互联网连接,蜜罐中包含了ICS/SCADA系
TPOT网络蜜罐安装——保姆级教程(一个人的血泪史)
朱少强的博客
07-20 5543
前言: 最近需要安装一个TPOT网络蜜罐,看网上教程太少或者我使用了不可行,受了俩星期的折磨后,由于不可抗因素需要重新安装,记录一下,防止后来人踩坑。 我的环境: WINDOWS10 VMware Workstation 16 Player Debian10.10 XSHELL 如果有需要的东西,我会放入百度网盘,供大家下载。 安装过程: 环境准备: VMware Workstation 16 Player安装: 不需要破解,官网有免费版的,直接去官网下载正版VM即可。(如果你...
Ubuntu 安装工控蜜罐 Conpot
还没想好昵称的新建p的博客
08-27 1557
本文介绍如何下载并安装 Conpot,包括准备环境,安装和运行,以及可能遇到的部分问题的解决方案。 注:如果您要查找如何配置 Conpot,那么这篇文章或许对您帮助不大。
蜜罐T-pot 19.03.1镜像部署
李先生在闯荡江湖
03-26 1246
GitHub项目地址: https://github.com/dtag-dev-sec/tpotce GitHub镜像地址: https://github.com/dtag-dev-sec/tpotce/releases 安装篇 关于T-Pot的安装,官方提供了 三种安装方式(说实话是两种)。 就是这个42MB的.iso文件,显然这是最偷懒的一种安装方式,边下载边安装,这就...
tpot_data[:5000]
08-27
### 回答1: 根据您提供的信息,我理解到这是一段代码,它使用了一个名为"tpot_data"的变量,并使用了Python中的切片语法,取出了tpot_data变量中的前5000个元素。具体tpot_data变量中存储了什么数据,需要查看代码上下文才能确定。 ### 回答2: tpot_data[:5000]是对tpot_data进行切片操作,取出前5000个元素。切片操作是Python中对序列对象进行切割的方法之一。 在此例中,tpot_data可能是一个列表、字符串或其他支持切片操作的序列对象。通过使用方括号[]来实现切片操作,冒号:用于分隔切片的起始和结束位置。 切片操作的结果是一个新的序列,包含了原序列指定范围内的元素。 在这个回答中,tpot_data[:5000]即表示取出tpot_data序列中的前5000个元素,并返回一个新的序列。 需要注意的是,在Python中,切片操作是基于零索引的。也就是说,索引位置0表示序列的第一个元素,索引位置n-1表示序列的最后一个元素,其中n是序列的长度。因此,tpot_data[:5000]将返回tpot_data序列中从索引位置0到索引位置4999的元素。 值得说明的是,如果tpot_data的长度不足5000,则切片操作会返回整个序列,即tpot_data本身。 总之,tpot_data[:5000]表示取出tpot_data序列中的前5000个元素,并返回一个新的序列。 ### 回答3: tpot_data[:5000]表示从tpot_data列表的第一个元素开始取,取到第5000个元素(包括第5000个元素)。具体来说,tpot_data[:5000]将返回一个包含tpot_data列表中索引从0到4999的元素的子列表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值