T-Pot攻击地图实时显示问题排查指南

问题现象分析

在T-Pot安全蜜罐系统中，攻击地图(Attack Map)是一个重要的可视化组件，用于实时展示攻击来源的地理位置信息。用户报告的攻击地图无法显示实时数据的问题，通常表现为以下特征：

• 系统已记录大量攻击事件（如案例中显示24小时内超过12万次攻击）
• Kibana仪表板可以查看到攻击IP和地理位置信息
• 但攻击地图界面却无法显示任何连接路径

根本原因探究

经过深入分析，这类问题通常源于以下技术原因：

1. 地理位置信息缺失：攻击地图需要同时具备攻击源IP和目标IP的地理位置信息才能绘制连接路径。即使攻击源IP有geo_ip信息，若目标IP（即T-Pot自身）缺少地理位置数据，地图仍无法渲染。

2. IP识别失败：T-Pot初始化时通过tpotinit容器执行/opt/tpot/bin/myip.sh脚本获取外部IP地址。当该脚本无法正确识别系统公网IP时，会导致后续地理位置查询失败。

3. 网络配置问题：在虚拟化环境或特殊网络架构中，NAT、路由配置可能导致IP识别异常。

解决方案实施

方法一：验证地理位置数据完整性

1. 登录Kibana控制台，进入Discover界面
2. 检查事件记录中是否同时包含：
   • geoip字段（攻击源地理位置）
   • geoip_ext字段（目标系统地理位置）
3. 确认两个字段都包含有效的经纬度信息

方法二：手动修复IP识别问题

当自动IP识别失败时，可采取以下步骤手动修复：

1. 定位脚本文件：

   cd ~/tpotce/docker/tpotinit/dist/bin
   

2. 修改myip.sh脚本： 使用文本编辑器打开脚本，将获取公网IP的逻辑替换为静态指定：

   #!/bin/ash
   echo "您的公网IP地址" > /data/ip.txt
   

3. 配置容器挂载： 编辑~/tpotce/docker-compose.yml文件，在tpotinit服务部分添加volume挂载：

   volumes:
     - ./docker/tpotinit/dist/bin/myip.sh:/opt/tpot/bin/myip.sh
   

4. 重启服务：

   docker compose -f ~/tpotce/docker-compose.yml down
   docker compose -f ~/tpotce/docker-compose.yml up -d
   

方法三：网络环境检查

1. 确认虚拟机网络配置为桥接模式（而非NAT）
2. 检查防火墙是否允许出向连接到IP查询服务
3. 测试以下命令是否能正确返回公网IP：

   curl ifconfig.me
   

预防性维护建议

1. 定期验证功能：部署后立即检查攻击地图显示是否正常
2. 监控脚本执行：通过查看日志确认IP识别是否成功：

   cat ~/tpotce/data/tpotinit.log | grep "Updating IP Info"
   

3. 备份配置：修改关键脚本前做好备份
4. 文档记录：记录网络环境特殊配置，便于后续排查

技术原理深入

T-Pot攻击地图的显示依赖于完整的数据处理链：

1. 数据采集层：各蜜罐服务捕获攻击事件
2. 数据处理层：
   • Logstash添加geo_ip字段
   • 通过MaxMind数据库查询IP地理位置
3. 可视化层：
   • map_data服务处理地理位置数据
   • map_web服务渲染交互式地图

当任一环节出现异常，都会导致最终显示问题。理解这个流程有助于快速定位问题环节。

总结

T-Pot攻击地图无法显示的问题多与IP识别和地理位置处理相关。通过系统化的排查方法，可以有效地定位和解决问题。对于复杂网络环境，建议在部署前就规划好网络架构，确保各组件能够正常获取所需的网络信息。