ハニーポット入門記録
ハニーポッターになりました
ハニーポット作成
ハニーポットをやりたいと言って早一年。ようやくハニーポットをたてました。
今回は、ハニーポットを建てるのは初めてという事なのでWOWHoneypotを使用させていただきました。これを選んだ理由としては、ちょうどTwitterでWOWHoneypotを建てた方がいたのですが、その方が良さそうなQiitaの記事を共有してくれていたのでいい機会だと思いデビューしました。
参考にした記事:https://qiita.com/hogehogehugahuga/items/cad931485f58ae487d53
今回はこの記事と同じくIDCFクラウド上にハニーポットを作成しました。
しかし、作成するところまではよかったのですがなぜかSSHが使えずフィルタリングなどの設定は正しいと思われるのに繋がらない…
もう少し余裕のある時にSSHの作業はすることにして、とりあえず正常にログを収集はできるようなので大丈夫そう。
ログの確認
初めは、lessコマンドやtailfコマンドを使用してログを見ていたのですがこれだけだとどうしても統計情報などがなくて見辛い…。ということで簡単に統計をもとめるPythonプログラムを作成しました。
https://github.com/teatime13/DecorateHoneypotLog
現在(6/4)ある機能はアクセス先のURLと、WOWHoneypotによって攻撃と判断された通信があった場合にはその番号をまとめて表示する機能があります。とりあえずで作ったプログラムだがこれが思った以上に便利で、不審な通信があるかというのがすぐに見られるので全部ログを解析していくよりも遥かにわかりやすいです。
まだとりあえずのプログラムでしかないのでこれを対話型にするなどしてより簡単に情報を見られるように拡張していけたらと思っています。多分kibanaなどを導入するまでのつなぎになるかと思いますがせっかくなので色々とコード書いてみるつもりです。