部署了半個月,分析一下數據:
需要提前知道的是,tpot中,每天的數據存一個index,然后每個index里面有不同的type,每條請求一個document
共24萬條請求:
查看整個集群所有數據
以7月23日為例,1.5萬條請求:
查看某一index的所有數據
查看每天都能捕獲到哪些type的請求,想要看所有type需要自己整理:
查看每個index的type
dashboard中顯示的請求都是攻擊嗎
dashboard中顯示的honeypot中捕獲的攻擊請求只有cowrie,rdpy,elasticpot。
看了一下,cowire,rdpy中的請求基本上都算是攻擊。
但是查看一下捕獲到的elasticpot的請求:
查看某一type的所有數據,使用正則表達式*
src_ip 172.22.0.1是本地地址,這明明是我自己發的請求,卻被當作攻擊了,event_pot還被標做了alert。。。
然后用src_ip過濾掉自己的請求,發現就沒有elasticpot攻擊:
不等於
dashboard中沒顯示的請求就不是攻擊嗎
但是我們在type里還看到了許多其他的請求,那這些是不是攻擊呢?
以suricata為例,我們看一下所有的suricata,八萬條:
看一下請求的具體信息:
有的比較像攻擊:src_ip不是本地ip,event_type的值為alert
有的一看就不是攻擊:
例如上圖這個event_type顯示只是dns請求而已。
所以使用src_ip=192.168.0.233過濾掉所有dns請求:
過濾完直接從8w條變成1.5w條,沒用的dns請求是真滴多啊。。。
但過濾出來的這1.5w條請求都是攻擊么?
先篩選出event_type為alert的請求,5k多條,發現都是known attacker,src_ip都是陌生ip,可以肯定是攻擊
不等於+等於雙條件查詢
然后篩選出event_type不為alert的請求,1w多條,發現也都是陌生的ip,而根據蜜罐的性質,蜜罐不向外提供服務,所以基本可以肯定這些是位置的攻擊者,也都是攻擊ip
不等於+不等於雙條件查詢
正則表達式過濾regexp(注意插入.要用\\.,表示選擇要用,匹配16-32之間的整數,只能[16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31],不能[16-31],但是可以[0-9])
匹配10.xxx.xxx.xxx的局域網地址:10\\..+
匹配172.16-31.xxx.xxx的局域網地址:172\\.[16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31]\\..+
匹配192.168.xxx.xxx的局域網地址:192\\.168\\..+
匹配127.xxx.xxx.xxx的本地地址:127\\..+
使用scroll分頁查詢
第一次查詢。正常請求后面 加上?scroll=3m(這里3m表示緩存保留3min),然后從響應中取得_scroll_id來進行下一次分頁請求。
下一次分頁請求:POST _search/scroll 並在請求體中帶上scroll和scroll_id參數即可
els查詢:
https://coyee.com/article/10764-23-useful-elasticsearch-example-queries
https://blog.csdn.net/donghaixiaolongwang/article/details/57418306