攻撃者からあえて攻撃を受けることで攻撃内容を解析することを目的としたハニーポットというシステムがあります。今回、T-Potを利用してハニーポットを構築してみました。

なぜT-Potか？

ハニーポットにはdionaeaやcowrieなど有名なものが既にたくさんあります。T-Potの特徴としてはこれらの有名なハニーポットがすべて搭載されていることとビジュアル機能が豊富なことが特徴です。また、構築も非常に簡単であることからT-Potで構築しました。

構築環境

構築環境はAWSを利用しました。メモリが8GB必要なため、自分はt2.largeインスタンスを選択しました。

構築手順

構築手順は公式サイト(https://github.com/dtag-dev-sec/tpotce)に記載してあります。ほかのハニーポットも構築したことがあるのですが、コンフィグファイルを設定したりなど多少設定すべき項目があるのですが、T-Potはシェルスクリプトを起動するだけでほぼ完了します。注意点としてはユーザ名にtpotを指定すると構築途中にコケるそうです。

github.com

git clone https://github.com/dtag-dev-sec/tpotce
cd tpotce/iso/installer/
cp tpot.conf.dist tpot.conf
./install.sh --type=auto --conf=tpot.conf

AWSコンソール上で管理画面を見れるIPアドレスを絞ったり、ハニーポットとして利用するためのポート開放は適時実施しましょう。 

構築後、管理画面にアクセスすることで以下のようなグラフィカルな画面を簡単に確認することができます。今年はハニーポットの運用記録をする予定ですので、適時ブログで報告予定です。