#06 Honey Pot

第6週。

あけましておめでとうございます。2022年も頑張ります。

公開したばかりのサイトでも、けっこう攻撃的なアクセスがきていたりします。最近話題になったlog4shellをねらったやつとか、古いルーターのヤバイ脆弱性とか。そういう攻撃の試行錯誤のようなログを眺めるのは楽しいし、勉強になります。そこで今回は、攻撃者たちをおびき寄せるハニーポットの構築をします。

目的

ハニーポットを構築して、ログを収集する

VPSを借りて、ハニーポットを植えます。ログを集めて、後ほど解析できるように用意しておこうという魂胆です。

環境

借りたVPSの環境です。

メモリ   1GB 
CPU       2Core
SSD       100GB
OS         Debian 10.10

メモリが1GBしかないので、軽量で動作するようにします。

Suricata (IDS)
Dionaea (Port)
Cowrie (SSH)
WOWHoneypot (HTTP)
ufw (Firewall)

作業

1. インストール

それぞれインストールガイドを参考にします。

Suricata - Quick Start

Dionaea - Documetation

Cowrie - Documentation

WOWHoneypot - Github

//ufw
sudo apt-get install ufw

2. 設定

気持ちよく攻撃できるようにポートをたくさん開放します。その分、ファイアウォールの設定に気をつかわなければいけません。

Cowrieがポート22を使うので、別のポートからSSH接続できるよう設定します。

vi /etc/ssh/sshd_config
//Port 22の下に別ポートを追加 
systemctl restart sshd

ufwで制限をかけます。

sudo ufw default DENY
sudo ufw allow 80/tcp    //wowhoneypot
sudo ufw allow 8080/tcp  //wowhoneypot
sudo ufw allow 22/tcp    //cowrie
sudo ufw allow 23/tcp    //cowrie
sudo ufw allow 2222/tcp  //cowrie
sudo ufw allow 2223/tcp  //cowrie

//ssh
sudo ufw allow from <ip> to any port <port> proto tcp

VPS側のポート制限も確認してください。なかなかSSH接続できずはまりました。

3. ログをダウンロード

cronで日毎にログを集めたzipファイルを作るように設定しました。それをsftpでダウンロードしてきます。

//wowhoneypot access_log　hashは省略
[2022-01-02 22:58:01+0900] <ip> <ip>:80 "GET / HTTP/1.1" 200 False 
[2022-01-02 22:58:01+0900] <ip> <ip>:80 "GET /favicon.ico HTTP/1.1" 200 False 

こんなかんじでログが出ていました。今のところApacheなどのログと同じに見えますが、もう少し詳細な情報が出てくるのでしょうか。しばらく運用してみます。

今後の展望

以上、攻撃者の足取りを観察するハニーポットの構築でした。最新のトレンドを追うには、実際の手法から学ぶのが一番です。ログが集まってきたら、解析の方にも手を出してみます。

調べてみると、さまざまなタイプのハニーポットが公開されているようです。今回はリソースの関係で軽めの構築となりましたが、強力なハニーポットもやってみたいです。

これで私もハニーポッターでしょうか？

EOF