蜜罐技术:本质上是一种对攻击者进行欺骗技术，通过布置一些作为诱饵的主机、网络服务或信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析

蜜罐一般是在隔离环境，攻击者入侵后是在系统之上的系统中，攻击者做的任何事情都记录在系统中，以供分析

官方介绍: https://dtag-dev-sec.github.io/mediator/feature/2016/10/31/t-pot-16.10.html

官方github： https://github.com/dtag-dev-sec/tpotce

T-pot 19.03运行在debian(Sid)上，基于docker, docker-compose并且包括以下蜜罐的docker镜像:   adbhoney，ciscoasa，conpot，cowrie，dionaea，elasticpot，glastopf，glutton、heralding，honeypy，honeytrap，mailoney，medpot，rdpy，snare，tanner   据介绍为了更接近滚对发布模型设计，此版本从ubuntu迁至debian

在19.03版本更新了一个共享T-pot数据功能，可通过SISSDEN门户创建账户进行提交

T-Pot提供了许多并行运行的蜜罐守护进程，并将网络接口上捕获的流量重新路由到最合适的开源蜜罐。   处理数据并将其存储在本地ELK堆栈中。

一、安装

· 安装要求

6-8GRAM   128G磁盘空间

· 安装模式

标准安装、传感器安装、 工业安装、 收集器安装 、 下一代安装

详细信息见官方说明 https://github.com/dtag-dev-sec/tpotce#postinstallauto

· 裸设备安装

1、获取ISO的两种方式:

• ISO方式：

• https://github.com/dtag-dev-sec/tpotce/releases/download/19.03/tpot.iso

• 自建ISO方式:

• git clone https://github.com/dtag-dev-sec/tpotce

• cd tpotce

• ./makeiso.sh

• #成功构建后，在目录会生成iso镜像tpot.iso以及tpot.sha256

• 创建ISO镜像要求:

• 创建ISO镜像:

1. 从github获取T-pot

2. 使用构建ISO脚本。该脚本将会下载并安装所需依赖项

1. Debian 9.7或更新

2. 4GB可用RAM

3. 32G磁盘空间

4. 互联网连接

2、 在硬件上运行

将镜像烧录至U盘，进行安装

3、 在虚拟机上运行

将iso挂载进行安装

4、安装

选择第一个选项进行安装

• 

• 

• 

• 

• 

• 

• 

• 

• 

  选择Tpot的安装模式这里选择标准

• 

  设置tsec默认用户密码

• 

• 

  设置web用户名

• 

  web用户密码

• 

• 

  系统装好自动执行安装脚本

· 基于现有系统安装

1.更换apt源

2.安装apt-fast

apt-fast 加速包下载速度，通过aria2的多线程在多个镜像源中进行下载同一个文件,此步骤可忽略,install.sh会自动安装

3.配置npm源

apt-fast install npmnpm config set registry http://registry.npm.taobao.org #将npm源换成国内源

4.克隆Tpot

#这里指定克隆库到/opt/tpot,因为此版的install.sh中会到这个目录下读配置文件，不存在的话，会自动再从github clone一份

git clone https://github.com/dtag-dev-sec/tpotce /opt/tpot

5.更改脚本

6.安装

7.部署视频

https://player.youku.com/embed/XNDE5NDAyMDEwMA==

· 云部署

在cloud文件夹中有一个ansible例子#此方法没有验证，各位读者自行验证

不建议裸设备安装，在获取足够的系统包前无法使用apt-fast进行多线程下载将会特别慢

裸设备安装需要先安装成debian 再执行install，由于安装系统部分包安装缓慢不建议使用此方法   测试大约2-6小时不等的时间

建议直接安装在现有Debian系统上，使用iso源的速度很慢通常安装要几个小时

在现有系统安装使用多线程下载安装20分钟差不多就可以安装完成

二丶检查安装

· 检查Tpot服务

systemctl status tpot

· 检查容器

cd /opt/tpot/bin./dps.sh#如果没有启动参考下面使用中的启动命令#如果部分没有成功下载，可以手动下载下面的下载缺失容器

UP为正常

· 下载缺失容器

cd /opt/tpot/etc/composefor i in `cat ./standard.yml | grep image | cut -d '"' -f2 | uniq`do     docker pull $idone

· 启动容器

cd /opt/tpot/etc/composedocker-compose -f ./standard.yml#如果安装别的模式yml用相应版本的#如果部分没有成功下载，可以手动下载

三、使用

· 启动Tpot服务

systemctl start tpot

· 停止Tpot服务

systemctl stop tpot

· 选择关闭数据提交

系统使用

原文链接：https://www.izhuhn.cn/index.php/2019/05/24/开源蜜罐t-pot-19-03安装和使用/