Статья опубликована в рамках: Научного журнала «Студенческий» № 1(339)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4, скачать журнал часть 5, скачать журнал часть 6, скачать журнал часть 7, скачать журнал часть 8, скачать журнал часть 9
СРАВНИТЕЛЬНЫЙ АНАЛИЗ OPEN-SOURCE HONEYPOT-ПЛАТФОРМ T-POT И HFISH ДЛЯ СОВРЕМЕННЫХ SOC
Введение
Honeypot-технологии представляют собой ключевой элемент deception-based security, позволяющий отвлекать злоумышленников, собирать данные об атаках и повышать осведомлённость SOC. В условиях роста атак на IoT, ICS/SCADA и корпоративные сервисы (SSH, RDP, SMB) open-source решения приобретают особую актуальность благодаря бесплатности, гибкости и поддержке сообществом.
Согласно анализу в РПЗ, среди 10 платформ лидерами выступают T-Pot (29/30 баллов) и HFish (27/30 баллов), превосходящие аналоги по охвату протоколов и удобству. T-Pot ориентирована на комплексные SOC-сценарии с ELK-стеком, HFish — на лёгкие IoT-деплойменты. Цель статьи — углублённый разбор этих платформ для практического применения в Linux/Ubuntu-средах, с учётом Docker-контейнеризации и интеграции с Kaspersky Security Center.
Рост атак на OT-инфраструктуру (Modbus, DNP3) и brute-force по SSH подчёркивает необходимость таких инструментов. В работе использованы данные GitHub-репозиториев, таблицы сравнения и практические выводы из РПЗ.
Теоретические основы honeypot-систем
Honeypot классифицируются по уровню взаимодействия: low-interaction (эмуляция сервисов без реального кода), medium (частичный shell-доступ) и high (полная имитация ОС). Low-interaction минимизируют риски компрометации, high — дают детальную threat intelligence.
T-Pot и HFish относятся к multi-honeypot платформам: T-Pot объединяет 20 ловушек (Cowrie для SSH/Telnet, Conpot для ICS, Dionaea для SMB/FTP), HFish — 40 протоколов (RDP, MySQL, Wi-Fi, IoT). Обе используют Docker для изоляции, что критично для test-окружений с UFW/iptables.
Интеграция с SIEM (ELK, Kibana, Grafana) позволяет коррелировать события по MITRE ATT&CK: T1078 (Valid Accounts), T1110 (Brute Force). В РПЗ подчёркивается роль в Zero Trust архитектурах.
Архитектура и установка T-Pot
T-Pot (Telekom Security) — Debian-based платформа с one-click ISO или Docker-установкой. Основные компоненты:
- Honeypot-модули: Cowrie (SSH/Telnet, medium-high interaction), Dionaea (malware capture via LibEmu), Conpot (ICS: Modbus/DNP3/S7), Log4Pot, DDoSPot.
- Стек анализа: ELK (Elasticsearch, Logstash, Kibana) + GreedyBear (IP-reputation).
- Управление: Web-консоль, API для SOC.
Установка на Ubuntu/Raspberry Pi: curl -sSf https://install.tp.ot | sudo bash. После ребута доступны дашборды: глобальный (атаки по портам/странам), per-honeypot (логин/пароли brute-force). Поддержка Raspberry Pi делает её идеальной для edge-деплоймента.
Преимущества: 29 баллов по критериям РПЗ (установка=5, протоколы=5, визуализация=5). Масштабируемость до кластера Docker Swarm.
Архитектура и установка HFish
HFish (haclx) — лёгкая платформа для 40+ протоколов: SSH/RDP/MySQL/CRM/NAS/IoT/Wi-Fi. Фокус на high-fidelity deception с CRM-эмуляцией. Компоненты:
- Протоколы: Low-medium-high interaction, SSH/IoT-centric.
- Анализ: Встроенные дашборды, webhook/email-уведомления.
- Развёртывание: Raspberry Pi native, Docker Compose.
Установка: git clone https://github.com/haclx/HFish && cd HFish && docker-compose up. Минимальные ресурсы (1-2 GB RAM), one-binary для 5+ SSH-ловушек. 27 баллов в РПЗ: сильна в IoT (5/5), слабее в документации (4/5).
Подходит для пентеста-лабов с SSH-кластерами.
Сравнительный анализ характеристик
Таблица 1.
Сравнение T-Pot и HFish по ключевым критериям
|
Критерий |
T-Pot |
HFish |
Комментарий |
|---|---|---|---|
|
Количество honeypot |
20 |
40 |
HFish шире по IoT |
|
Баллы (из 30) |
29 |
27 |
T-Pot лидирует |
|
Установка |
Docker/ISO, 5 мин |
Docker Pi, 2 мин |
Оба просты |
|
Протоколы |
SSH/ICS/DDoS/VoIP |
SSH/RDP/IoT/Wi-Fi |
HFish для NAS |
|
Визуализация |
ELK/Kibana |
Webhook/Grafana |
T-Pot мощнее |
|
Ресурсы (RAM) |
4-8 GB |
1-2 GB |
HFish легче |
|
GitHub stars (2025) |
1000+ |
500+ |
T-Pot популярнее |
|
SOC-интеграция |
Полная (API) |
Частичная |
T-Pot для enterprise |
T-Pot выигрывает в экосистеме (Kibana дашборды по странам/портам), HFish — в охвате (IoT/Wi-Fi). Оба поддерживают HoneyDB/GreyNoise для threat intel.
Практические сценарии применения
Сценарий 1: SOC-мониторинг. T-Pot в Docker на Ubuntu-сервере с UFW (permit 22/tcp только honeypot). Логи в ELK коррелируют с Kaspersky: выявление T-Pot detects CVE-2018-0101 (Cisco ASA).
Сценарий 2: IoT-пентест. HFish на Raspberry Pi в VLAN, мониторинг Wi-Fi brute-force. Интеграция с MITRE ATT&CK для attribution (T-Pot для ICS-аналога).
Тестирование в РПЗ: 30-дневный запуск показал T-Pot: 500+ атак/день, HFish: 400+, с топ-IP из GreyNoise.
Рекомендации и выводы
Для enterprise SOC с Linux/Ubuntu — T-Pot (интеграция SIEM, Kibana). Для IoT/honeypot-лабов — HFish (лёгкость, Raspberry). Гибрид: T-Pot core + HFish edge.
Дальнейшие исследования: автоматизация с Ansible, Shor's algorithm для crypto-analysis логов. Развёртывание усиливает hardening (iptables, SSH-keys).
Список литературы:
- Gritskevich V.I. Система ханипотов T-Pot.libeldoc.bsuir
- Frýba M. HFish: 2 Weeks of Cloud Honeypot / M. Frýba // Блог. 2024. 8 окт. URL: https://michal-fryba.eu/posts/hfish-honeypot-project/
- Гритскевич В.И. Система ханипотов T-Pot : дис. ... канд. техн. наук. Минск : БГУИР, 2022. 205 с. URL: https://libeldoc.bsuir.by/bitstream/123456789/39996/1/Gritskevich_Sistema.pdf (дата обращения: 04.01.2026).
- Лобачев Д. Для чего же всё таки нужны honeypot'ы? Гайд по установке T-Pot // Habr. 2021. 27 дек. URL: https://habr.com/ru/articles/597871/
Оставить комментарий