T-potのコンテナと待ち受けポート、目的を整理する

security
スポンサーリンク

整理結果

ハニーポット待ち受けポート(copilotの回答。
要確認)
ハニーポットの目的
ADBHoney5555/TCPAndroid Debugハニーポット
Cisco ASA Honeypot5000/UDP, 8443/TCPCisco ASAデバイスの模倣
CitrixHoneypot443/TCPCitrix ADCの脆弱性(CVE-2019-19781)検出
Conpot80/TCP,102/TCP,161/TCP,502/TCP,523/TCP,1025/TCP,2404/TCP,10001/TCP,44818/TCP,47808/TCP,50100/TCPICS/SCADAシステムの模倣
Cowrie22/TCP, 23/TCPSSH/TELNETアクセスの捕捉
Ddospot53/UDP, 123/UDP, 1900/UDP, 19/UDPDDoS攻撃検出(DNS/NTP/SSDP/CHARGEN/UDP)
Dicompot11112/TCPDICOM(医療データ通信)の模倣
Dionaea21/TCP, 23/TCP, 135/TCP, 139/TCP, 445/TCP多種の脆弱性捕捉(shellcode)
ElasticPot9200/TCPElasticsearchの脆弱性検出
Endlessh22/TCPSSH Tarpit
Herald21/TCP, 22/TCP, 23/TCP, 25/TCP, 80/TCP, 110/TCP, 143/TCP, 443/TCP, 993/TCP, 995/TCP, 3389/TCPFTP、TELNET、SSH、HTTP、POP3、IMAPなど
IPPHoney631/TCPIPP(Internet Printing Protocol)
Log4Pot8080/TCPLog4Shell脆弱性捕捉
Mailoney25/TCPSMTPの模倣
Medpot2575/TCP, 5555/TCPHL7/FHIR(医療データ)の模倣
RedisHoneyPot6379/TCPRedisの脆弱性検出
SentryPeer5060/UDPSIP(IP電話)の攻撃検出
ElasticHoney9200/TCPElasticsearchの模倣
Honeytrap80/TCP, 443/TCP, 8080/TCP任意サービスの捕捉
Honeytrap + Suricata80/TCP, 443/TCP, 8080/TCP任意サービスの捕捉 + サイバー攻撃の検出

集計すべき結果と集計の観点(修正中)

ハニーポット待ち受けポート(copilotの回答。
要確認)
ハニーポットの目的集計の観点
ADBHoney5555/TCPAndroid Debugハニーポット
Cisco ASA Honeypot5000/UDP, 8443/TCPCisco ASAデバイスの模倣
CitrixHoneypot443/TCPCitrix ADCの脆弱性(CVE-2019-19781)検出
Cowrie22/TCP, 23/TCPSSH/TELNETアクセスの捕捉・kibanaにてSSH、Telnet試行ユーザID・パスワードの組み合わせを確認
・Telnet・SSHにアップロードされたファイルをVirstotalで確認
・Telnet・sshで実行されたコマンドの確認
・接続回数が多い送信元IPの悪性評価
Ddospot53/UDP, 123/UDP, 1900/UDP, 19/UDPDDoS攻撃検出(DNS/NTP/SSDP/CHARGEN/UDP)
Dicompot11112/TCPDICOM(医療データ通信)の模倣
Dionaea21/TCP, 23/TCP, 135/TCP, 139/TCP, 445/TCP多種の脆弱性捕捉(shellcode)
ElasticPot9200/TCPElasticsearchの脆弱性検出
Endlessh22/TCPSSH Tarpit
Herald21/TCP, 22/TCP, 23/TCP, 25/TCP, 80/TCP, 110/TCP, 143/TCP, 443/TCP, 993/TCP, 995/TCP, 3389/TCPFTP、TELNET、SSH、HTTP、POP3、IMAPなど
IPPHoney631/TCPIPP(Internet Printing Protocol)
Log4Pot8080/TCPLog4Shell脆弱性捕捉
Mailoney25/TCPSMTPの模倣
Medpot2575/TCP, 5555/TCPHL7/FHIR(医療データ)の模倣
RedisHoneyPot6379/TCPRedisの脆弱性検出
SentryPeer5060/UDPSIP(IP電話)の攻撃検出
ElasticHoney9200/TCPElasticsearchの模倣
Honeytrap80/TCP, 443/TCP, 8080/TCP任意サービスの捕捉
Honeytrap + Suricata80/TCP, 443/TCP, 8080/TCP任意サービスの捕捉 + サイバー攻撃の検出

コメント

タイトルとURLをコピーしました