基于docker的Cowrie的搭建及数据可视化
时间: 2024-06-01 20:09:58 浏览: 31
Cowrie是一款基于Python的SSH蜜罐,可以模拟常见的Linux命令行环境,吸引黑客攻击并记录攻击行为。本文将介绍如何在Docker上搭建Cowrie,并使用Elasticsearch和Kibana实现数据可视化。
1. 安装Docker和Docker Compose
如果您还没有安装Docker和Docker Compose,可以按照官方文档进行安装。
2. 下载Cowrie
在本地创建一个文件夹,用于存放Cowrie相关文件。在命令行中进入该文件夹,运行以下命令:
git clone https://github.com/cowrie/cowrie.git
3. 编辑配置文件
进入cowrie文件夹,复制一份配置文件:
cd cowrie
cp cowrie.cfg.dist cowrie.cfg
编辑cowrie.cfg文件,将以下参数修改为自己的配置:
[ssh]
# 监听地址
listen_endpoints = tcp:2222:interface=0.0.0.0
# SSH版本
ssh_version = 2
# SSH主机密钥
ssh_host_key = /cowrie/cowrie-git/var/lib/cowrie/cowrie-ssh-hostkey.pem
# SSH用户认证
authfile = /cowrie/cowrie-git/etc/cowrie/passwd
# SSH黑名单
tcp_proxy = /cowrie/cowrie-git/bin/tcp-proxy.py
# SSH欢迎信息
banner_file = /cowrie/cowrie-git/data/fs/banner
[output_elasticsearch]
# Elasticsearch地址
elasticsearch_host = elasticsearch
# Elasticsearch端口
elasticsearch_port = 9200
# Elasticsearch索引名
elasticsearch_index = cowrie-%Y.%m.%d
4. 编写Docker Compose文件
在cowrie文件夹下新建一个docker-compose.yml文件,内容如下:
version: '3'
services:
cowrie:
build: .
ports:
- "2222:2222"
volumes:
- ./cowrie.cfg:/cowrie/cowrie-git/etc/cowrie.cfg
- ./data:/cowrie/cowrie-git/var/lib/cowrie
depends_on:
- elasticsearch
environment:
- ES_HOST=elasticsearch
- ES_PORT=9200
elasticsearch:
image: docker.elastic.co/elasticsearch/elasticsearch:7.14.1
environment:
- discovery.type=single-node
- bootstrap.memory_lock=true
- "ES_JAVA_OPTS=-Xms512m -Xmx512m"
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- ./elasticsearch:/usr/share/elasticsearch/data
ports:
- "9200:9200"
- "9300:9300"
kibana:
image: docker.elastic.co/kibana/kibana:7.14.1
ports:
- "5601:5601"
environment:
- ELASTICSEARCH_HOSTS=http://elasticsearch:9200
depends_on:
- elasticsearch
该Docker Compose文件包含了三个服务:
- cowrie:运行Cowrie蜜罐
- elasticsearch:运行Elasticsearch
- kibana:运行Kibana
其中,cowrie和elasticsearch服务通过depends_on进行依赖关系的声明,kibana服务依赖elasticsearch服务。cowrie服务挂载了两个本地文件夹,一个用于存放cowrie.cfg配置文件,另一个用于存放Cowrie蜜罐所产生的数据。elasticsearch服务挂载了一个本地文件夹,用于持久化Elasticsearch数据。
5. 启动服务
在命令行中进入cowrie文件夹,运行以下命令启动服务:
docker-compose up -d
6. 访问Kibana
在浏览器中访问http://localhost:5601/,进入Kibana界面。在左侧的导航栏中,点击“Discover”选项卡,即可看到Cowrie蜜罐所产生的数据。您可以根据自己的需求,对数据进行分析和可视化。
总结
本文介绍了如何基于Docker快速搭建Cowrie蜜罐,并通过Elasticsearch和Kibana实现数据可视化。这是一种简单、快速、可扩展的方案,可以帮助安全人员更好地了解攻击者的行为和方法,从而提高安全防护能力。
相关推荐
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![-](https://csdnimg.cn/download_wenku/file_type_column_c1.png)
![-](https://csdnimg.cn/download_wenku/file_type_column_c1.png)
![-](https://csdnimg.cn/download_wenku/file_type_column_c1.png)
![-](https://csdnimg.cn/download_wenku/file_type_column_c1.png)
![-](https://csdnimg.cn/download_wenku/file_type_column_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)