0×01 引言

蜜罐通常偽裝成看似有利用價值的信息系統(tǒng)，吸引黑客攻擊。由于蜜罐事實上并未對網(wǎng)絡(luò)提供任何有價值的服務(wù)，所以任何對蜜罐的嘗試都是可疑的。蜜罐中還可能裝有監(jiān)控軟件，用以監(jiān)視黑客入侵后的舉動。蜜罐在拖延黑客攻擊真正目標上也有一定作用。

——WikiPedia

傳統(tǒng)的Web蜜罐、服務(wù)蜜罐和數(shù)據(jù)庫蜜罐能夠通過模擬相關(guān)服務(wù)，欺騙黑客和漏洞掃描器的攻擊，幫助我們獲取網(wǎng)絡(luò)空間中的潛在威脅和了解新型的攻擊手段，是實現(xiàn)信息系統(tǒng)主動防御和攻擊欺騙的重要部分。

針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全攻擊日益增多，多起重要工控系統(tǒng)安全事件應(yīng)引起重視。

——《2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》CNCERT

隨著物聯(lián)網(wǎng)的發(fā)展，研究人員發(fā)現(xiàn)了大量的工控設(shè)備漏洞，根據(jù)賽門鐵克的報告，尤其是2015年，工控系統(tǒng)的漏洞被大量發(fā)現(xiàn)。一些黑客使用Shodan、Zoomeye、Fofa等搜索引擎，可以快速探查特定組織暴露在網(wǎng)絡(luò)空間中的設(shè)備資產(chǎn)，我們使用工控蜜罐能夠欺騙這些網(wǎng)絡(luò)資產(chǎn)搜索引擎，作為以攻擊者視角構(gòu)建的陷阱，延遲和迷惑黑客的攻擊，在提高主動防御能力、獲取基礎(chǔ)威脅情報和輔助決策支撐等方面提供幫助。

Conpot是一個由glaslos等人開發(fā)的，用于獲得關(guān)于工控系統(tǒng)的威脅情報的開源ICS/SCADA蜜罐，本文將從Conpot展開，介紹其部署和使用的入門。

0×02 Conpot介紹

Conpot is a low interactive server side Industrial Control Systems honeypot designed to be easy to deploy, modify and extend. By providing a range of common industrial control protocols we created the basics to build your own system, capable to emulate complex infrastructures to convince an adversary that he just found a huge industrial complex. To improve the deceptive capabilities, we also provided the possibility to server a custom human machine interface to increase the honeypots attack surface. The response times of the services can be artificially delayed to mimic the behaviour of a system under constant load. Because we are providing complete stacks of the protocols, Conpot can be accessed with productive HMI’s or extended with real hardware. Conpot is developed under the umbrella of the?Honeynet Project?and on the shoulders of a couple of very big giants.

我大致地翻譯了官方的介紹：

Conpot是一個部署在服務(wù)端的低交互ICS蜜罐，能夠快速地部署、修改和拓展。開發(fā)者通過提供一系列的通用工控協(xié)議，使得我們能夠非常快速地在我們的系統(tǒng)上構(gòu)建一套復(fù)雜的工控基礎(chǔ)設(shè)施用于欺騙未知的攻擊者。為了提高這套蜜罐的欺騙性和迷惑性，開發(fā)者同時也提供了一個人機接口來增加這套蜜罐的攻擊面。蜜罐的響應(yīng)時間能夠通過相關(guān)參數(shù)進行調(diào)節(jié)，由此模擬出當前負載下的響應(yīng)時間。Conpot對協(xié)議棧有著完整的支持，因此它能夠接收生產(chǎn)環(huán)境中的HMI或是直接拓展的真實硬件。最后要說明的是，Conpot是站在巨人的肩膀上，以Honeynet Project為基礎(chǔ)開發(fā)的。

Conpot官方已經(jīng)為Conpot打包了Docker鏡像，可以作為容器快速部署。個人認為，使用docker來部署蜜罐/蜜網(wǎng)是現(xiàn)在的一個方向，不僅僅是這個工控蜜罐，包括其他的一些蜜罐，使用Docker能夠為蜜罐提供基礎(chǔ)的隔離環(huán)境，在較低資源占用下的大規(guī)模蜜罐/蜜網(wǎng)部署。安全人員可以把日志文件掛載到Host主機（在Conpot中，開發(fā)者使用HPFeeds來傳輸數(shù)據(jù)），通過這樣來隱蔽蜜罐的行為監(jiān)控，主流的Docker集群框架（如K8S等）已經(jīng)為我們提供了很好的解決方案。

0×03 搭建相關(guān)環(huán)境和安裝Conpot

在Docker上安裝

對于入門者，如果不想安裝Docker，可以直接在Daocloud注冊賬號，免費申請一臺膠囊主機，他們提供的主機已經(jīng)安裝了Docker，所以直接pull鏡像就能開擼。需要注意的是，免費提供的膠囊主機只有120分鐘的生命周期!

以下是官方提供的幾個部署方式，我測試了第一種部署方法，推薦用第一種Pre-Build鏡像上手。如果需要自己定制docker鏡像，可以參考基于Ubuntu安裝的方法和官方的dockerfile，自行定制Dockerfile，用國內(nèi)的源來下載和編譯，官方的源比較容易翻車。

使用Pre-Build鏡像運行

安裝Docker

運行docker pull honeynet/conpot

運行docker run -it -p 80:80 -p 102:102 -p 502:502 -p 161:161/udp --network=bridge honeynet/conpot:latest /bin/shPS. 可以根據(jù)自己的實際需要更改docker run中的參數(shù)，-p表示蜜罐暴露的端口號。

在容器中運行conpot --template default

瀏覽器中打開HTTP://YOUR_IP_ADDR，開擼！

從源代碼編譯鏡像，并使用Docker運行（這個方法使用了國外源，所以大概率會由于眾所周知的網(wǎng)絡(luò)原因翻車。）

安裝Docker

從Github中clone相關(guān)repo?git clone?https://github.com/mushorg/conpot.git

進入程序目錄?cd conpot

運行?docker build -t conpot .

運行docker run -it -p 80:80 -p 102:102 -p 502:502 -p 161:161/udp --network=bridge conpot

在Ubuntu安裝Conpot

1. 安裝依賴sudo apt-get install libsmi2ldbl snmp-mibs-downloader python-dev libevent-dev libxslt1-dev libxml2-dev

2. 從PyPi安裝Conpotpip install conpot

0×04 配置入門

在不指定參數(shù)的情況下，直接運行Conpot時，程序?qū)⑹褂靡韵碌幕A(chǔ)配置。

[modbus] host = 0.0.0.0 port = 502[snmp] host = 0.0.0.0 port = 161[http] host = 0.0.0.0 port = 80[sqlite] enabled = False[hpfriends] enabled = False host = hpfriends.honeycloud.net port = 20000 ident = 3Ykf9Znv secret = 4nFRhpm44QkG9cvD channels = ["conpot.events", ][fetch_public_ip] enabled = True url = http://api-sth01.exip.org/?call=ip

盡管Conpot官方提供了一個能夠模擬安裝若干拓展的Siemens S7-200 CPU蜜罐配置文件，能夠欺騙攻擊者或是漏洞掃描應(yīng)用基于MODBUS、HTTP、SNMP 和 s7comm 等協(xié)議展開攻擊。可是現(xiàn)在的搜索引擎（比如shadon）已經(jīng)能夠識別出一些簡單蜜罐的，也就是說，這種陷阱已經(jīng)無法誘騙攻擊者了。所以說在更多情況下，我們需要定制自己的需求。

Conpot一共支持bacnet、enip、guardian_ast、http、ipmi、kamstrup、misc、modbus、s7comm和snmp等10個協(xié)議。

我們可以先嘗試著配置一個單一協(xié)議的IPMI(智能平臺管理接口)蜜罐，開始上手。

運行mkdir ipmi，cd ipmi

創(chuàng)建template.xml文件，配置模板的基礎(chǔ)信息。vim template.xml

<core><template><!-- General information about the template --><entity name="unit">371</entity><entity name="vendor">IPMI</entity><entity name="description">Creates a simple IPMI device</entity><entity name="protocols">IPMI</entity><entity name="creator">Lukas Rist</entity></template><databus><!-- Core value that can be retrieved from the databus by key --><key_value_mappings><key name="SystemName"><value type="value">"Technodrome"</value></key></key_value_mappings></databus></core>

3.?mkdir ipmi，cd ipmi，vim ipmi.xml。新建ipmi文件夾，配置ipmi協(xié)議的詳細信息。

<ipmi enabled="True" host="0.0.0.0" port="623"><device_info><device_name>SystemName</device_name></device_info><user_list><user><user_name>Administrator</user_name><password>Password</password><privilege>4</privilege><active>true</active><fixed>true</fixed></user></user_list></ipmi>

通過上面這個例子，我們就能只要照著配置出IPMI的蜜罐，其中設(shè)備名稱使用的是我們在template.xml的databus中配置的SystemName，然后設(shè)置了IPMI協(xié)議中的用戶的相關(guān)信息。最終文件夾的結(jié)構(gòu)就是如下圖所示。

完成后返回到最初的template目錄，運行conpot --template ./ipmi，conpot就會自動加載ipmi文件夾里的配置文件，生成蜜罐。

0×05 進階配置

Conpot內(nèi)部添加了很多有用的特性，比如使用隨機數(shù)來設(shè)置應(yīng)答時間和應(yīng)答內(nèi)容等等。下面介紹一下Conpot配置HTTP協(xié)議。在HTTP的配置中，你可以定制Web服務(wù)的各種特性，包括控制響應(yīng)代碼和響應(yīng)頁面的發(fā)生的時間和方式。

首先是進行全局的配置，config里面的變量已經(jīng)注釋地比較清楚了，update_header_date是用來在HTTP的響應(yīng)header里面加入時間的功能，要和下面的date一起配合著用，tarpit是為了模擬工控系統(tǒng)低性能而設(shè)置的響應(yīng)延遲。

<global><config><!-- what protocol shall we use by default? --><entity name="protocol_version">HTTP/1.1</entity><!-- if we find any date header to be delivered, should we update it to a real value? --><entity name="update_header_date">true</entity><!-- should we disable the HTTP HEAD method? --><entity name="disable_method_head">false</entity><!-- should we disable the HTTP TRACE method? --><entity name="disable_method_trace">false</entity><!-- should we disable the HTTP OPTIONS method? --><entity name="disable_method_options">false</entity><!-- TARPIT: how much latency should we introduce to any response by default? --><entity name="tarpit">0</entity></config><!-- these headers will be sent with each response --><headers><!-- this date header will be updated, if enabled above --><entity name="Date">Sat, 28 Apr 1984 07:30:00 GMT</entity></headers> </global>

進行了全局的配置以后，下面是配置htdocs，類似于寫常用的Web路由，每一個node都相當于在配置一個URL，可以進行302跳轉(zhuǎn)或者是返回html頁面，所以在這里面可以具體地配置每個URL。同時也能在node內(nèi)定義tarpit，如果在具體的node中定義了tarpit，那么這個延遲將會在這個node中覆蓋之前在全局的定義

<!-- how should the different URI requests be handled --> <htdocs><node name="/"><!-- force response status code to 302 --><status>302</status><headers><!-- these headers will be sent along with this response --><entity name="Content-Type">text/html</entity><entity name="Location">/index.html</entity></headers></node><node name="/index.html"><!-- this tarpit will override the globally set tarpit for this node --><tarpit>0.0;0.3</tarpit><headers><entity name="Last-Modified">Tue, 19 May 1993 09:00:00 GMT</entity><entity name="Content-Type">text/html</entity><entity name="Set-cookie">path=/</entity></headers></node> </htdocs>

以上就是node中比較常用的配置方法了，下面是狀態(tài)碼的配置，這里的配置和上面的htdocs比較類似，可以直接參照node中的設(shè)置來對status進行設(shè)置。需要注意的是，錯誤的狀態(tài)碼進行響應(yīng)時不應(yīng)該設(shè)置延遲。

<statuscodes><status name="400"><!-- 400 (BAD REQUEST) errors should be super fast and responsive --><tarpit>0</tarpit><entity name="Content-Type">text/html</entity></status> </statuscodes>

0×06 吐槽和瞎扯

Conpot作為一個非常容易上手的工控蜜罐，比較適合用來練練手，而且部署也非常方便，只要自己寫一個dockerfile就能夠批量部署了。但是如果攻擊者有做過anti-honeypot的相關(guān)研究，這種低交互的蜜罐還是很容易被識破的，這個項目的issue中就有對這一點的吐槽和嘲諷。

但是這種低交互的蜜罐絕不是沒有用的，在一些特定場景下，這種低交互的蜜罐能夠完成很多高交互蜜罐沒法完成的工作。比如說在生產(chǎn)環(huán)境中配置高交互蜜罐和低交互蜜罐混合在一起的蜜網(wǎng)，然后通過低交互的蜜罐迷惑攻擊者，讓攻擊者誤以為高交互蜜罐是生產(chǎn)環(huán)境。在這種情況下，低交互蜜罐同樣是起到了攻擊欺騙的作用，但是這種欺騙又脫離了狹義上的攻擊欺騙的范疇，可以說是非常套路了。

另外一個方面的優(yōu)勢在于，這種低交互的蜜罐不管是開發(fā)成本還是部署成本都是非常低的。做到大規(guī)模的部署，讓它去捕捉攻擊者的試探行為本身就能作為威脅情報體系的一部分。我在32核/32G的服務(wù)器上，嘗試部署了150個蜜罐，系統(tǒng)的內(nèi)存占用仍然在一個較低的水平，因此，只要分別給這150個容器分發(fā)IP，它們直接就能組成蜜網(wǎng)。如果對這些設(shè)備進行精細化的配置，就可以復(fù)制出一整套生產(chǎn)環(huán)境，能夠產(chǎn)生更強的迷惑性，提供更具價值的威脅情報信息。下面這個圖就是我在服務(wù)器上運行conpot容器的截圖，實際上，穩(wěn)定之后CPU的占用很小，內(nèi)存占用大約在14GB左右，這種資源的使用仍然是可以接受的，可以使用一些TCP端口轉(zhuǎn)發(fā)的工具，把這些蜜罐暴露在公網(wǎng)中。

我們往往需要部署多個蜜罐形成蜜網(wǎng)，用虛擬機的硬件消耗不太劃算，所以說這時候部署在 Docker 上就非常有必要了。我在上一篇博客中已經(jīng)嘗試在一臺 32 核 32GB 服務(wù)器上部署了150個 Pre-Build Conpot 容器， CPU 占用微乎其微，內(nèi)存占用大約在 14GB 左右。對于大規(guī)模的部署，這種資源占用程度是可以接受的。下面這幅圖從實現(xiàn)架構(gòu)上介紹了 Docker 相對于虛擬機的優(yōu)勢，我覺得 Docker 有一個很棒的優(yōu)勢就是在于較低資源占用下提供了容器間資源隔離。

官方提供了一個 Pre-Build 的鏡像，但是直接使用這個只能實現(xiàn)比較有限的功能，同時也不支持蜜罐模板的定制和日志的配置，所以這時候就需要自己擼 Dockerfile ，編譯鏡像了，但是不用像做官方的 Dockerfile 那么麻煩，可以基于 Pre-Build 鏡像修改。

這幅圖展示了一個比較典型的工業(yè)生產(chǎn)環(huán)境(圖片來自Logix)，包括一些功能模塊（[變頻]風(fēng)扇單元、[變頻]壓縮機等）、PLC控制模塊。希望能和大家一起，通過學(xué)習(xí)這個系列的文章，初步實現(xiàn)大型工控蜜網(wǎng)的自動化部署。

0×02 開始之前

Linux 64bit / MacOS

安裝 Docker （官方安裝教程?&?國內(nèi)源安裝腳本

了解基本的工控協(xié)議（并非必要）

復(fù)習(xí)一遍工控蜜罐 Conpot 的部署和入門指南，列出想在容器中實現(xiàn)的協(xié)議（ modbus 、 impi 、 http 、 snmp ······），并做出 template 。

0×03 定個小目標：先做一個能用的 Docker 鏡像

先前說了，官方是有提供一個 Dockerfile 的，但是里面有點問題（比如使用國外源導(dǎo)致的網(wǎng)絡(luò)中斷，然后整個鏡像就沒法編譯），官方的 Dockerfile 是基于 python:2 鏡像做的，然后下載依賴、編譯源碼、測試，過程有點麻煩，而且因為網(wǎng)絡(luò)問題，安裝依賴需要很長時間。我把官方的 Pre-Build 鏡像傳到了網(wǎng)易蜂巢上，可以直接拉取網(wǎng)易源（hub.c.163.com/mapchuan/conpot:latest），也可以改成 honeynet/conpot 使用官方源。如果使用Docker的頻率比較大，可以考慮在本地部署私有鏡像倉庫服務(wù)，提高鏡像拉取的速度。最后要說明的是，在這里我是假定大家已經(jīng)做好模板，如果還沒做，可以先用官方的模板文件代替。

我們下載官方的repo，提取出./conpot/template/default模板文件夾，并將文件夾重命名為 mytemplate ，大家可以根據(jù)實際情況做出修改。

# 在Conpot鏡像基礎(chǔ)上修改 # 官方源: FROM honeynet/conpot # 網(wǎng)易源：FROM hub.c.163.com/mapchuan/conpot:latest FROM hub.c.163.com/mapchuan/conpot:latest# 維護者信息 MAINTAINER mpc@besti# 導(dǎo)入模板文件 RUN mkdir /opt/conpot/template COPY ./ /opt/conpot/template# 切換工作目錄 WORKDIR /opt/conpot/template# 根據(jù)需要發(fā)布端口 EXPOSE 80# 指定自定義模板，--template ./mytemplate表示以mytemplate為模板生成蜜罐 CMD ["/usr/local/bin/conpot", "--template", "./mytemplate", "--logfile", "/var/log/conpot/conpot.log"]]

完成Dockerfile后，在conpot文件夾中運行docker build -t conpot .編譯鏡像。

運行docker run -it -p 80:80 conpot就OK啦。

0×04 日志采集

既然考慮進行大規(guī)模的部署，像我們剛才做的鏡像那樣那樣直接輸出到屏幕顯然是不合理的， Conpot 提供了多種日志收集的途徑， Conpot 在 conpot.cfg 文件中配置了默認日志輸出形式，用戶可以通過修改 conpot.cfg 文件來自定義日志收集的配置。

[json] enabled = False filename = /var/log/conpot.json[sqlite] enabled = False[mysql] enabled = False device = /tmp/mysql.sock host = localhost port = 3306 db = conpot username = conpot passphrase = conpot socket = tcp ; tcp (sends to host:port), dev (sends to mysql device/socket file)[syslog] enabled = False device = /dev/log host = localhost port = 514 facility = local0 socket = dev ; udp (sends to host:port), dev (sends to device)[hpfriends] enabled = False host = hpfriends.honeycloud.net port = 20000 ident = 3Ykf9Znv secret = 4nFRhpm44QkG9cvD channels = ["conpot.events", ][taxii] enabled = False host = taxiitest.mitre.org port = 80 inbox_path = /services/inbox/default/ use_https = False

可以看到，在 Conpot 中，我們可以使用 json 、 sqlite 、 mysql 、 syslog 、 hpfriends 和 taxii 等幾種方式輸出訪問日志。

你可以在 honeynet 注冊一個hpfriends賬號，成為一名志愿者，將蜜罐日志上傳到 honeynet ，為安全研究人員提供最新的威脅信息。

現(xiàn)在這個網(wǎng)頁已經(jīng)掛了，如果有需要可以自行搭建中心 hpfriends server ，收集來自設(shè)備的日志。

sqlite 文件存儲在 ./logs/conpot.db ，MySQL 和 syslog 的?
device 變量是從設(shè)備中獲取連接，但是在容器中，一般不會用到這個feature，注意把socket設(shè)為udp/tcp即可。

如果有什么不清楚的，可以在 Conpot 的?logger 文件夾中看看日志輸出的具體實現(xiàn)，源碼的可讀性比較高。這個項目整體上耦合度不高，所以能夠比較容易地基于源代碼二次開發(fā)，對接自己的日志收集系統(tǒng)。

0×05 進階！改進我們的 Docker image

雖然剛才我們已經(jīng)初步寫出了自己的 Docker image ，但是現(xiàn)在仍然是一個玩具，距離真正的部署還有一定距離，我們可以嘗試著進一步改進剛才的 Dockerfile 。

先要修改 conpot 運行的 cfg 文件

[common] sensorid = default[session] timeout = 30[daemon] ;user = conpot ;group = conpot[json] enabled = False filename = /var/log/conpot.json[sqlite] enabled = False[mysql] enabled = True device = /tmp/mysql.sock host = 172.16.43.116 port = 30005 db = conpot username = root passphrase = root socket = tcp ; tcp (sends to host:port), dev (sends to mysql device/socket file)[syslog] enabled = False device = /dev/log host = localhost port = 514 facility = local0 socket = dev ; udp (sends to host:port), dev (sends to device)[hpfriends] enabled = False host = hpfriends.honeycloud.net port = 20000 ident = 3Ykf9Znv secret = 4nFRhpm44QkG9cvD channels = ["conpot.events", ][taxii] enabled = False host = taxiitest.mitre.org port = 80 inbox_path = /services/inbox/default/ use_https = False[fetch_public_ip] enabled = True urls = ["http://whatismyip.akamai.com/", "http://wgetip.com/"][change_mac_addr] enabled = False iface = eth0 addr = 00:de:ad:be:ef:00

我在這里是讓 conpot 把數(shù)據(jù)存儲在 MySQL 容器中，將 enabled 改為 True ，并根據(jù)實際情況填寫數(shù)據(jù)庫的 IP 、端口、用戶名、密碼等信息，如果有多個節(jié)點，還需要修改 sensorid ，下圖展示了當前文件夾中的文件。

我們現(xiàn)在開始寫 Dockerfile ，基本上還是在前面的 Dockerfile 里面加一些功能。

# 在Conpot鏡像基礎(chǔ)上修改 # 官方源: FROM honeynet/conpot # 網(wǎng)易源：FROM hub.c.163.com/mapchuan/conpot:latest FROM hub.c.163.com/mapchuan/conpot:latest# 維護者信息 MAINTAINER mpc@besti# 導(dǎo)入模板文件 RUN mkdir /opt/conpot/template COPY ./ /opt/conpot/template# 切換工作目錄 WORKDIR /opt/conpot/template# 根據(jù)需要發(fā)布端口 EXPOSE 80# 指定自定義模板，--template ./mytemplate表示以mytemplate為模板生成蜜罐，加入--config，指定配置文件 CMD ["/usr/local/bin/conpot", "--template", "./mytemplate", "--logfile", "/var/log/conpot/conpot.log","--config","conpot.cfg"]]

運行 conpot ，訪問容器的80端口，用 Navicat 連接 MySQL ，可以看到， conpot 已經(jīng)在 conpot 數(shù)據(jù)庫新建了 events 表，并添加了我們剛才的訪問記錄。

0×06 更多玩法？

Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning. ——Churchill

剛才已經(jīng)基本上完成了 Conpot 蜜罐的部署和日志收集工作，但是現(xiàn)在很多操作比如 conpot.cfg 和 Dockerfile 的編寫都需要手動一個個操作，距離大規(guī)模的部署仍然還有些距離，我們希望程序能夠幫助我們完成 sensorid 、 conpot.cfg 和蜜罐模板的自動分發(fā)，在收集到攻擊數(shù)據(jù)后如何挖掘，怎樣與其他的安全系統(tǒng)產(chǎn)生聯(lián)動······如果不出意外的話，我將在下一篇博客和大家進行更深入的研究。

我的博客是?https://pingch.top?，上面可以找到我的信息和聯(lián)系方式，歡迎交流

總結(jié)

以上是生活随笔為你收集整理的工控蜜罐Conpot部署和入门及高级演变的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。