T-POTCE 工业蜜罐配置与部署指南

T-POTCE 作为一款开源的威胁感知平台，集成了多种蜜罐技术用于网络安全监控。其中工业控制系统(ICS)蜜罐是其重要组成部分，能够模拟各类工业协议和设备，帮助安全研究人员分析针对关键基础设施的攻击行为。

工业蜜罐核心组件

T-POTCE 默认集成了 Conpot 工业蜜罐系统，该系统支持多种工业协议仿真：

• Modbus (TCP 502端口)
• BACnet (UDP 47808端口)
• Kamstrup (382端口)
• 其他常见工业协议如IEC 104、DNP3等

配置工业蜜罐服务

在 T-POTCE 的 docker-compose.yml 文件中，可以找到 Conpot 的默认服务配置。要启用完整的工业协议支持，需要确保以下端口映射正确：

ports:
  - "69:69/udp"    # TFTP
  - "80:80"        # HTTP
  - "102:102"      # S7comm
  - "161:161/udp"  # SNMP
  - "502:502"      # Modbus
  - "623:623/udp"  # IPMI
  - "21:21"        # FTP
  - "44818:44818"  # EtherNet/IP
  - "47808:47808/udp" # BACnet

协议模板配置

Conpot 使用模板系统来定义不同协议的仿真行为。模板文件通常位于 /conpot/templates/default 目录下，包含：

• modbus.xml: Modbus 协议仿真配置
• bacnet.xml: BACnet 协议仿真配置
• kamstrup.xml: 智能电表协议仿真配置

每个模板文件定义了协议特定的寄存器映射、设备标识和交互逻辑，安全团队可以根据实际需求修改这些模板，使其更接近真实的工业设备行为。

部署建议

1. 网络隔离：工业蜜罐应部署在隔离的网络环境中，避免影响真实生产系统
2. 日志收集：确保配置了正确的日志路径，便于后续攻击分析
3. 性能监控：工业协议蜜罐可能产生大量网络流量，需要监控系统资源使用情况
4. 定期更新：保持蜜罐模板与最新威胁情报同步，提高诱捕效果

典型应用场景

• 安全研究：分析针对工业控制系统的攻击手法和工具
• 威胁感知：早期发现针对关键基础设施的扫描和攻击尝试
• 人员培训：为工业网络安全人员提供实战训练环境
• 合规验证：测试安全防护措施的有效性

通过合理配置 T-POTCE 中的工业蜜罐组件，组织可以构建一个有效的工业网络安全监测体系，提前发现并应对潜在威胁。