Hệ thống honeypot hoàn chỉnh với 2 server: honeypot server giả mạo trang admin database và capture server để bắt và phân tích các gói tin tấn công.
- Chức năng: Giả mạo trang admin database để dụ hacker tấn công
- Ports: 80 (HTTP), 443 (HTTPS)
- Tính năng: SQL injection, file upload, command injection vulnerabilities
- Logging: Ghi log tất cả requests và gửi về capture server
- Chức năng: Bắt và phân tích các gói tin tấn công
- Ports: 8080 (API)
- Tính năng: Packet capture, attack detection, log analysis
- Detection: Nmap, telnet, metasploit, port scanning
sensor-monitor/
├── honeypot/ # Honeypot server
│ ├── app/
│ │ ├── app.py # Flask application
│ │ ├── templates/ # HTML templates
│ │ └── utils/
│ │ ├── logger.py # Logging system
│ │ └── sender.py # Log sender
│ ├── nginx/
│ │ └── nginx.conf # Nginx configuration
│ ├── Dockerfile
│ ├── docker-compose.yml
│ └── requirements.txt
├── capture/ # Capture server
│ ├── capture.py # Packet capture script
│ ├── receiver.py # Log receiver API
│ ├── analyzer.py # Attack analyzer
│ ├── Dockerfile
│ ├── docker-compose.yml
│ └── requirements.txt
├── deploy-honeypot.sh # Honeypot deployment script
├── deploy-capture.sh # Capture deployment script
└── README.md
- Trang login admin với SQL injection vulnerability
- Dashboard database giả mạo với các bảng dữ liệu
- File upload với arbitrary file upload vulnerability
- Console terminal với command injection vulnerability
- API endpoints vulnerable cho testing
- Logging đầy đủ tất cả requests và attacks
- Packet capture sử dụng Scapy
- Attack detection cho nmap, telnet, metasploit
- Log receiver API nhận logs từ honeypot
- Attack analyzer phân tích patterns và classify threats
- Real-time monitoring và alerting
- Ubuntu/Debian server
- Docker và Docker Compose
- Root access
- Network connectivity giữa 2 servers
# Copy files lên server
scp -r honeypot/ root@172.235.245.60:/tmp/
scp deploy-honeypot.sh root@172.235.245.60:/tmp/
# SSH vào server và chạy deployment
ssh root@172.235.245.60
cd /tmp
chmod +x deploy-honeypot.sh
./deploy-honeypot.sh# Copy files lên server
scp -r capture/ root@172.232.224.160:/tmp/
scp deploy-capture.sh root@172.232.224.160:/tmp/
# SSH vào server và chạy deployment
ssh root@172.232.224.160
cd /tmp
chmod +x deploy-capture.sh
./deploy-capture.sh# Kiểm tra honeypot
curl http://172.235.245.60
curl https://172.235.245.60
# Kiểm tra capture server
curl http://172.232.224.160:8080/api/health- HTTP: http://172.235.245.60
- HTTPS: https://172.235.245.60
- Login: Bất kỳ username/password nào (luôn "thành công")
# Kiểm tra status
honeypot-monitor.sh
# Xem logs
docker-compose -f /opt/honeypot/docker-compose.yml logs
# Restart service
systemctl restart honeypot# Kiểm tra status
capture-monitor.sh
# Chạy analysis
run-analysis.sh
# Xem logs
docker-compose -f /opt/capture/docker-compose.yml logs
# Restart service
systemctl restart captureGET /api/health- Health checkGET /api/stats- StatisticsGET /api/logs/recent- Recent logsGET /api/attacks- Attack logsPOST /api/logs- Receive logs from honeypot
FLASK_ENV=production
CAPTURE_SERVER_URL=http://172.232.224.160:8080
HONEYPOT_IP=172.235.245.60
LOG_LEVEL=INFOTARGET_IP=172.232.224.160
HONEYPOT_IP=172.235.245.60
LOG_DIR=/app/logs
LOG_LEVEL=INFOufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow from 172.232.224.160 to any port 80
ufw allow from 172.232.224.160 to any port 443ufw allow 22/tcp
ufw allow 8080/tcp
ufw allow from 172.235.245.60 to any port 8080/var/log/honeypot/requests.log- Tất cả requests/var/log/honeypot/attacks.log- Attack attempts/var/log/honeypot/errors.log- Error logs
/var/log/capture/packets/captured_packets.log- Raw packets/var/log/capture/analysis/attack_analysis.log- Attack analysis/var/log/capture/honeypot/honeypot_logs.log- Logs from honeypot/var/log/capture/reports/- Analysis reports
- Honeypot server CÓ Ý tạo lỗ hổng để dụ hacker
- KHÔNG deploy trên mạng nội bộ thực
- ISOLATE honeypot khỏi hệ thống production
- Capture server phải SECURE và không có lỗ hổng
- Logs chứa SENSITIVE DATA, cần bảo mật
# Kiểm tra Docker containers
docker ps
# Xem logs
docker-compose -f /opt/honeypot/docker-compose.yml logs
# Kiểm tra ports
netstat -tuln | grep -E ":(80|443)"# Kiểm tra permissions
ls -la /dev/net/tun
# Kiểm tra network interface
ip addr show
# Test packet capture
tcpdump -i any -c 5# Kiểm tra connectivity
ping 172.235.245.60
# Test API
curl http://172.232.224.160:8080/api/health
# Xem logs
tail -f /var/log/capture/honeypot/honeypot_logs.logLogs được tự động rotate hàng ngày và giữ 30 ngày.
# Update honeypot
cd /opt/honeypot
docker-compose pull
docker-compose up -d
# Update capture server
cd /opt/capture
docker-compose pull
docker-compose up -d# Backup logs
tar -czf honeypot-logs-$(date +%Y%m%d).tar.gz /var/log/honeypot/
tar -czf capture-logs-$(date +%Y%m%d).tar.gz /var/log/capture/Nếu gặp vấn đề, vui lòng kiểm tra:
- Log files trong
/var/log/ - Docker container status
- Network connectivity giữa 2 servers
- Firewall rules
- System resources (CPU, memory, disk)
Dự án này được tạo ra cho mục đích giáo dục và nghiên cứu bảo mật. Sử dụng có trách nhiệm.