まったり技術ブログ

Webエンジニアのセキュリティブログ

【セキュリティ】motikan2010作サイト『オープンハニーポット』とは

※金欠の為、当サービスは終了いたしました。


はじめに

 前回のブログ更新から1ヶ月以上経ち、たまには更新をしないといけないと思ったので最近私が作成したサイトを簡単に紹介することにします。
 その名は『オープンハニーポット』!!
 まだ β版 ということで挙動がおかしい部分がありますが、興味のある方は是非さわってみてください。

http://honypot.motikan2010.com/honypot.motikan2010.com

どのようなサイト?

ハニーポットという名が入っていることからもわかる通り、ハニーポットに関係しているサイトです。
 このサイトには私が運用している複数のハニーポットのアクセスログが保存されており、誰でもそのログを閲覧することができます。ちなみに今は4台のハニーポットからログを収集しています。

 その4台上で動作しているハニーポットは全て同じですが、動作させているクラウドサービスがそれぞれ異なっており、「AWS」「GCP」「Azure」「Alibaba Cloud」を利用しています。
 その意図としては、クラウドサービスごとに攻撃の種類が異なるのかを観測したかったというのがあります。(実際は軽く確認した感じ、差異はありませんでした・・・)

 「オープンハニーポット」では、それらのハニーポットで収集されたアクセスログの詳細や時間別のアクセス数などを確認することができます。

各画面の説明

 簡単に現時点であるページを簡単に説明していきます。

トップ

 オープンハニーポットの顔となるページですが、元々非公開のものとして作成していたという経緯があり、各ページへのリンクが存在しているだけで寂しいシンプルなページとなっています。

リクエスト一覧

 ハニーポットへのリクエストが新しい順で一覧が表示されているページです。
特定のIPアドレスに絞り込んで検索したり、特定のパスを除外して検索するような機能があります。
 IPアドレスを押下することで、そのIPアドレスのWhoisのサイトに遷移することが可能です。

 詳細ボタンを押下すると次に紹介する リクエスト詳細 ページが表示されます。

リクエスト詳細

 ここではリクエスト一覧ページで押下されたリクエストの詳細を確認することができます。
下記のリクエスト例では WordPressの /xmlrpc.php への攻撃があったということが分かります。

時間別アクセス数

 何気に一番見ているページです。クラウドサービス別にグラフを表示していますが、攻撃数が多い時は全体的に攻撃行われているなどが分かり面白いです。

 デフォルトでは直近1日を表示するようになっており、グラフの下には「クラウドサービス別アクセス数」と「送信元IPアドレス別アクセス数」を表示するようにしています。

日別アクセス数

 最初に作成したページで 時間別アクセス数 確認できるようになっている今はあまり役に立っていないページです。
 日別のアクセス数推移が確認したいとき用です。

ログイン画面

 現時点では意味のないページです。元々「リクスト一覧」と「リクエスト詳細」ページはログインしないと閲覧できないページに設定していました。
 理由としてはハニーポットのIPアドレスが簡単に閲覧できるのを懸念していたからですが、気にすることないと感じつつある今はログインしなくても閲覧することができます。
 そんな過去があり存在しているページでログインしても意味はありません。

今後

 最近はあまり開発に着手できていませんが、今後の展望などがあったりします。
① WAFとの連携
 実はハニーポットと一緒にWAFであるModSecurityを動作させているので、検知ログがDBに保存されている状態です。これらのデータを利用してリクエスト一覧画面にどのような攻撃があったのかを自動的に表示したいです。

② HTTP通信以外の補足
 ハニーポットに「WOWHoneypot」を利用しているので、多数のポートを扱えるソフトウェアへの移行を考えています。

③ デザインの修正
 トップが特にそうですがデザインを全く考えないとで作成したので、使いやすく改善したいなと。。

 上のことを優先的に改善していきたいと考えいますが、ご要望など(なんでもいい)がありましたらフッターにあるご意見箱から意見をいただけると助かります。

参考

github.com

更新履歴

  • 2019年10月10日 新規作成