implementing-network-deception-with-honeypots

使用 OpenCanary、T-Pot 或 Cowrie 部署和管理网络蜜罐(Honeypot),以检测未授权访问、横向移动和攻击者侦察活动。

9 stars

Best use case

implementing-network-deception-with-honeypots is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 OpenCanary、T-Pot 或 Cowrie 部署和管理网络蜜罐(Honeypot),以检测未授权访问、横向移动和攻击者侦察活动。

Teams using implementing-network-deception-with-honeypots should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-network-deception-with-honeypots/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-network-deception-with-honeypots/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-network-deception-with-honeypots/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-network-deception-with-honeypots Compares

Feature / Agentimplementing-network-deception-with-honeypotsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 OpenCanary、T-Pot 或 Cowrie 部署和管理网络蜜罐(Honeypot),以检测未授权访问、横向移动和攻击者侦察活动。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用蜜罐实施网络欺骗

## 适用场景

- 部署欺骗技术以检测横向移动(Lateral Movement)
- 为网络入侵创建早期预警指标
- 在安全架构设计中增加检测纵深
- 监控未授权的内部扫描或凭据盗窃
- 收集攻击者技术和工具的威胁情报(Threat Intelligence)

## 前置条件

- 用于蜜罐部署的 Linux 服务器或 VM(推荐 Ubuntu 22.04+)
- Python 3.8+,带 pip 用于安装 OpenCanary
- 用于 T-Pot 或容器化部署的 Docker
- 带适当 VLAN 配置的网络段
- 用于告警转发的 SIEM 集成(syslog、webhook 或文件)
- 允许入站连接到蜜罐服务的防火墙规则

## 工作流程

1. **规划部署**:选择蜜罐类型和网络放置策略。
2. **安装蜜罐**:在专用主机上部署 OpenCanary、Cowrie 或 T-Pot。
3. **配置服务**:启用模拟服务(SSH、HTTP、SMB、FTP、RDP)。
4. **设置告警**:配置日志转发到 SIEM 和告警渠道。
5. **部署诱饵令牌**:放置凭据文件、共享和 DNS 条目。
6. **监控交互**:分析蜜罐日志中的攻击者活动。
7. **调优和维护**:根据检测结果更新配置。

## 核心概念

| 概念 | 描述 |
|------|------|
| OpenCanary | 轻量级 Python 蜜罐,具有模块化服务模拟功能 |
| Cowrie | 中等交互 SSH/Telnet 蜜罐,捕获命令执行 |
| T-Pot | 多蜜罐平台,集成 ELK 可视化 |
| 诱饵令牌(Canary Token) | 被访问时发出告警的陷阱凭据或文件 |
| 低交互(Low-Interaction) | 在协议级别模拟服务,无完整操作系统 |
| 高交互(High-Interaction) | 完整操作系统蜜罐,捕获完整攻击者会话 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| OpenCanary | 模块化蜜罐守护进程,支持服务模拟 |
| Cowrie | SSH/Telnet 蜜罐,带会话录制功能 |
| T-Pot | 一体化多蜜罐平台 |
| Dionaea | 捕获恶意软件的蜜罐,用于漏洞利用检测 |
| Splunk/Elastic | 用于蜜罐告警聚合的 SIEM |

## 输出格式

```
告警:HONEYPOT-[服务]-[日期]-[序号]
蜜罐:[主机名/IP]
服务:[SSH/HTTP/SMB/FTP/RDP]
源 IP:[攻击者 IP]
交互类型:[登录尝试/端口扫描/文件访问]
使用的凭据:[用户名:密码(如适用)]
执行的命令:[对于 SSH 蜜罐]
风险级别:[严重/高/中/低]
```

Related Skills

scanning-network-with-nmap-advanced

9
from killvxk/cybersecurity-skills-zh

使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-ot-network-security-assessment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。

performing-network-traffic-analysis-with-zeek

9
from killvxk/cybersecurity-skills-zh

部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。

performing-network-traffic-analysis-with-tshark

9
from killvxk/cybersecurity-skills-zh

使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)

performing-network-packet-capture-analysis

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。

performing-network-forensics-with-wireshark

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。

performing-external-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

依照 PTES 方法论,通过侦察、扫描、漏洞利用和报告等阶段,对面向互联网的基础设施执行全面的外部网络渗透测试,识别可利用漏洞。

performing-deception-technology-deployment

9
from killvxk/cybersecurity-skills-zh

部署欺骗技术(Deception Technology),包括蜜罐(Honeypot)、诱饵令牌(Honeytoken)和诱饵系统(Decoy System), 用于检测已绕过外围防御的攻击者,提供极低误报率的高置信度告警。适用于 SOC 团队需要提前预警横向移动(Lateral Movement)、 凭据滥用(Credential Abuse)或内部侦察(Internal Reconnaissance)的场景,通过在网络中部署逼真陷阱实现检测。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。