24小时 SSH 蜜罐监控:用 Grafana 实时追踪网络攻击
项目地址: https://gitcode.com/gh_mirrors/en/endlessh 在当今网络安全形势日益严峻的时代,SSH 蜜罐成为了保护服务器安全的重要工具。Endlessh 作为一款高效的 SSH 蜜罐软件,能够有效捕获和监控潜在的网络攻击者。本文将为您详细介绍如何通过 Grafana 监控系统实现 24 小时不间断的 SSH 蜜罐监控,让您实时掌握网络攻击动态。
🛡️ 什么是 SSH 蜜罐?
SSH 蜜罐是一种专门设计的诱饵系统,它模拟真实的 SSH 服务,吸引攻击者连接并消耗其资源。Endlessh 的工作原理非常巧妙:它通过极其缓慢地发送无尽的 SSH 横幅信息,将攻击者困在连接中数小时甚至数天之久。
蜜罐的核心优势
- 资源消耗:让攻击者浪费宝贵的时间和带宽
- 攻击检测:及时发现针对您服务器的扫描和攻击行为
- 安全防护:将真实 SSH 服务迁移到其他端口,保护核心服务安全
📊 构建完整的监控体系
数据收集与处理
Endlessh 提供了完整的日志记录功能,通过 util/pivot.py 脚本可以将原始日志转换为结构化数据:
# 处理日志数据
util/pivot.py <log | sqlite3 -init util/schema.sql log.db
数据库结构设计
项目中的 util/schema.sql 定义了完整的日志存储结构,包括攻击者 IP、端口、连接时长和传输字节数等关键信息。
🔧 快速部署 Endlessh
安装与配置
-
编译安装:
make && sudo make install -
配置文件: 编辑
/etc/endlessh/config文件,设置监听端口、延迟时间等参数:Port 2222 Delay 10000 MaxLineLength 32 MaxClients 4096
系统服务集成
项目提供了多种系统服务配置:
- util/endlessh.service - systemd 服务文件
- util/smf/endlessh.xml - Solaris SMF 配置
- util/openbsd/endlessh - OpenBSD 启动脚本
📈 Grafana 仪表板配置
数据源连接
将处理后的日志数据导入 Grafana,配置以下关键指标:
- 实时连接数:监控当前被蜜罐捕获的攻击者数量
- 攻击来源分析:统计攻击者的地理位置分布
- 连接时长统计:分析攻击者被蜜罐困住的时间分布
监控面板设计
创建多个监控面板,包括:
- 攻击趋势图:显示 24 小时内攻击次数的变化
- 地理位置热力图:可视化攻击来源分布
- 连接时长分析:统计不同攻击者的停留时间
🎯 实战应用场景
企业安全防护
通过 SSH 蜜罐监控系统,企业可以:
- 及时发现内部网络的异常扫描行为
- 收集攻击者使用的工具和技术信息
- 为安全策略调整提供数据支持
个人服务器保护
个人用户可以通过简单的配置,实现:
- 自动识别和阻断恶意 SSH 连接尝试
- 减少服务器日志中的噪音信息
- 提升整体系统安全性
💡 最佳实践建议
配置优化技巧
- 端口选择:将蜜罐部署在标准 SSH 端口(22),真实服务使用非标准端口
- 延迟设置:根据网络环境调整延迟时间,平衡蜜罐效果和资源消耗
- 日志轮转:定期清理和归档日志文件,避免磁盘空间不足
安全注意事项
- 确保蜜罐系统与生产环境隔离
- 定期更新蜜罐软件版本
- 监控蜜罐系统本身的运行状态
🚀 进阶功能扩展
自动化响应
结合其他安全工具,实现:
- 自动将攻击者 IP 加入防火墙黑名单
- 触发安全告警通知管理员
- 生成安全态势报告
通过 Endlessh 和 Grafana 的完美结合,您可以构建一个强大的 SSH 蜜罐监控系统,实现 24 小时不间断的网络攻击监控。这不仅能够保护您的服务器安全,还能为网络安全分析提供宝贵的数据支持。
开始部署您的 SSH 蜜罐监控系统,让网络安全防护迈上新台阶!🔒
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
