2021工业控制系统蜜罐介绍.pptx

工业控制系统蜜罐;目录;工业控制系统;蜜罐是一种软件应用系统，用来称当入侵诱饵，引诱黑客前来攻击。攻击者入侵后，通过监测与分析，就可以知道他是如何入侵的，随时了解针对组织服务器发动的最新的攻击和漏洞。;分类

数据库蜜罐

Web蜜罐

工控蜜罐

其他;Conpot是Glastopf下一个开源的ICS/SCADA蜜罐系统，工具可以实现ModBusSNMP等PLC的外部子站服务的模拟仿真。

仿真

Modbus

S7Comm

HTTP

SNMP

Bacnet

IPMI;部署

T-POT

MHN(ModernHoneyNetwork)

Docker;T-POT是一个蜜罐平台,集成了常用的蜜罐,免除了一个一个部署蜜罐的复杂过程,并提供了日志可视化查看处理.

集成的蜜罐

conpot

cowrie:SSH蜜罐

dionaea:支持FTP、HTTP、SSH、mysql、mssql、sip等协议的蜜罐模拟

...;T-POT;T-POT;plscan是一个扫描工具.通过扫描给定IP地址的102和502端口,来判断指定IP是否是S7Comm服务或者Modbus服务.;T-POT

;T-POT

;Conpot+Rsyslog+ELK

ELK

Rsyslog:负责转发日志给Kibana

ElasticSearch:开源分布式搜索引擎

Logstash:开源的日志收集、过滤、储存工具

Kibana:Kibana是一个为Logstash和ElasticSearch提供的日志分析的Web接口。可使用它对日志进行高效的搜索、可视化、分析等各种操作。

;使用plcsan扫描Conpot

;Kibana

;使用Docker部署Conpot及ELK;MHN;结束