部署了半个月,分析一下数据:
需要提前知道的是,tpot中,每天的数据存一个index,然后每个index里面有不同的type,每条请求一个document
共24万条请求:
以7月23日为例,1.5万条请求:
查看每天都能捕获到哪些type的请求,想要看所有type需要自己整理:
dashboard中显示的请求都是攻击吗
dashboard中显示的honeypot中捕获的攻击请求只有cowrie,rdpy,elasticpot。
看了一下,cowire,rdpy中的请求基本上都算是攻击。
但是查看一下捕获到的elasticpot的请求:
src_ip 172.22.0.1是本地地址,这明明是我自己发的请求,却被当作攻击了,event_pot还被标做了alert。。。
然后用src_ip过滤掉自己的请求,发现就没有elasticpot攻击:
dashboard中没显示的请求就不是攻击吗
但是我们在type里还看到了许多其他的请求,那这些是不是攻击呢?
以suricata为例,我们看一下所有的suricata,八万条:
看一下请求的具体信息:
有的比较像攻击:src_ip不是本地ip,event_type的值为alert
有的一看就不是攻击:
例如上图这个event_type显示只是dns请求而已。
所以使用src_ip=192.168.0.233过滤掉所有dns请求:
过滤完直接从8w条变成1.5w条,没用的dns请求是真滴多啊。。。
但这1.5w条我们也不能断定都是攻击