Honeypot Live:即時 SSH 機器人互動儀表板
Honeypot Live:即時 SSH 機器人互動儀表板
即時可見的 SSH 機器人活動
Honeypotlive.cc 將原始 Cowrie 日誌轉換為即時、基於 Web 的儀表板,展示每一次 SSH 連線、認證嘗試與指令執行的全過程。 透過 WebSocket 串流 JSON 事件,任何人都能在數秒內觀察自動化攻擊的展開,揭露在靜態日誌檔中看不見的模式。
儀表板顯示的內容
- 來源 IP 與埠號 – 每一次新的 TCP 連線都會以
session.connect記錄,並顯示客戶端的 IP(例如91.92.42.61)。 - SSH 客戶端指紋(HASSH) – 儀表板會為每個會話提取客戶端的 HASSH 指紋(
0a07365cc01fa9fc82608ba4019af499),以便進行指紋為基礎的叢集分析。 - 認證嘗試 – 同時顯示
login.failed(例如[myuser/123456])與login.success事件,並呈現精確的使用者名稱/密碼組合。 - 指令執行 – 當會話達到
login.success後,隨後的command.input行(例如uname -s -v -n -r -m)會即時出現。 - 檔案活動 – 儀表板會報告檔案寫入、下載以及 TTY 日誌(
log.closed)。 - 通道請求 – 例如 SSH 轉發嘗試等事件會作為會話流程的一部分被捕獲。
8 小時樣本的主要發現
- 流量量級 – 來自 213 個唯一 IP 的 1,950 個會話,其中 327 個會話執行了指令。
- 重複的公鑰安裝 – 同一把 SSH 金鑰在 11 個 IP 中被安裝了 152 次,顯示出協調的持久化企圖。
- 指紋驅動的攻擊 – 多個會話共享相同的 HASSH 指紋,暗示單一 Botnet 或腳本族群。
- 偵查腳本 – 重複出現的指令序列嘗試區分真實 Shell 與蜜罐,可能透過探測時間或環境變數實現。
- 多架構載荷 – 機器人請求多種 CPU 架構的下載 URL,暗示通用惡意程式投放器。
- SSH 轉發濫用 – 多個會話嘗試建立代理通道,這是規避出口過濾的典型手法。
- 分散式認證探測 – 機器人在 1–2 秒內連線、測試單一認證後即斷線,產生大量短暫會話。
社群回應與想法
"Hi tusksm! It’s honeypot season! Really cool project, I’ve been working on a honeypot project of my own called
honeypromptthat utilizes LLMs to craft responses and supports multiple protocols. Having a public sink presentation layer like honeypotlive.cc was one of my next todos." – @arm32
"You know what extra data would be cool? If you hit
curl https://ip.guide/{src_ip}and got back the ASN and country etc and added a leaderboard. In my own experiments I’ve been gobsmacked by how much malicious traffic comes from Azure." – @drcongo
"Someone instantly started spamming the bee movie’s introduction. Solid pun." – @belval
"Watching the first few minutes was more educational than I expected." – @preetham_rangu
這些評論突顯了三個重複出現的主題:
- 豐富 IP 資料 – 整合 ASN、地理位置與聲譽服務,將原始 IP 轉化為可操作的情報。
- 擴展互動 – 使用 LLM 驅動的回應(如
honeyprompt)可讓蜜罐更具說服力,並收集更豐富的載荷。 - 社群驅動的分析 – 排行榜或活動層級的檢視可協助研究人員比較不同蜜罐的活動情形。
Honeypotlive 的潛在下一步
| 目標 | 為何重要 | 可能的實作方式 |
|---|---|---|
| 自動會話分類 | 快速區分掃描、認證探測、偵查、持久化、下載與通道等活動。 | 在標記過的 Cowrie 事件上訓練輕量分類器,於即時串流中為會話加標籤。 |
| 攻擊叢集 | 辨識跨多個 IP 的協調攻擊。 | 依共享的 HASSH 指紋、指令序列、公鑰雜湊或下載檔案雜湊分組會話。 |
| 豐富 IP 上下文 | 立即提供威脅情報(ASN、國家、已知濫用)。 | 於連線時查詢 ipinfo.io 或 ip.guide 等服務,快取結果並與 IP 同時顯示。 |
| 歷史搜尋與統計 | 讓分析師查詢過往會話、趨勢與活躍機器人。 | 將事件存入時序資料庫(如 InfluxDB),並提供搜尋 UI。 |
| 分散式感測支援 | 超越單一 VPS,監控多個網路區段。 | 在訊息中介(Kafka / RabbitMQ)後端部署多個 Cowrie 實例,於儀表板聚合事件。 |
| 開源收集器與儀表板 | 鼓勵社群貢獻與可重現性。 | 將 Python 日誌監聽器與前端程式碼發布至 GitHub,附上清晰的貢獻指南。 |
隱私與負責任披露考量
即時串流會包含來源 IP 與嘗試的認證資訊。作者已註明,IP 可能屬於受感染主機、VPN 或掃描器。平台的任何擴充都應保留此警示,並考慮以下措施:
- 對公共 API 進行速率限制,防止濫用。
- 在保留期限後匿名化 IP。
- 提供下架流程,讓被誤標的 IP 所有者能申請移除。
結論
Honeypotlive.cc 展示了將原始蜜罐日誌轉換為互動式即時可視化的威力。透過揭露認證嘗試、指令執行與指紋資料,它讓本應埋沒在彙總日誌中的自動化 SSH 攻擊結構浮現。社群回饋指向豐富 IP 資料、加入自動分類與建置可搜尋的歷史存檔等方向,這些功能有望將專案從單純的即時檢視器,升級為安全研究人員的全功能分析平台。