T-Pot攻击地图实时显示问题排查指南

T-Pot作为一款功能强大的蜜罐平台，其攻击地图功能能够直观展示攻击来源和路径。但在实际部署中，用户可能会遇到攻击地图无法实时显示数据的问题。本文将深入分析该问题的成因并提供完整的解决方案。

问题现象分析

当T-Pot的攻击地图无法显示实时数据时，通常表现为以下特征：

1. 事件统计面板显示有大量攻击事件记录
2. Kibana中可以查询到攻击者的IP和地理位置信息
3. 但攻击地图上无任何路径显示

根本原因

经过技术分析，该问题主要由以下两个因素导致：

1. 地理位置信息缺失：攻击地图需要同时具备攻击源IP和目标IP的地理位置信息才能绘制攻击路径。如果其中任一方缺少地理位置数据，路径将无法显示。

2. 外部IP识别失败：T-Pot初始化时通过tpotinit容器中的myip.sh脚本自动获取系统外部IP。当该脚本无法正确获取IP时，会导致目标IP的地理位置信息缺失。

详细解决方案

验证地理位置数据完整性

1. 登录Kibana控制台
2. 进入Discover页面查看事件详情
3. 确认以下字段是否存在有效数据：
   • src_ip对应的geoip信息
   • 目标IP对应的geoip_ext信息

诊断IP识别问题

执行以下命令检查IP识别日志：

more $HOME/tpotce/data/tpotinit.log

查找包含"# Updating IP Info ..."的行，确认IP识别是否成功。

手动配置外部IP

当自动识别失败时，可手动配置：

1. 修改本地脚本文件：

vim docker/tpotinit/dist/bin/myip.sh

2. 在docker-compose.yml中添加volume映射：

volumes:
  - ./docker/tpotinit/dist/bin/myip.sh:/opt/tpot/bin/myip.sh

3. 重启T-Pot服务使配置生效

进阶排查技巧

1. 容器日志检查：

docker logs map_data
docker logs map_web

2. 网络环境验证：

• 确认NAT配置正确
• 检查防火墙规则是否允许出站连接
• 测试外部服务可达性

3. 缓存清理：

• 清除浏览器缓存
• 强制刷新页面(Ctrl+F5)

预防措施

1. 定期检查tpotinit容器运行状态
2. 监控/data/tpotinit.log文件变化
3. 在网络环境变更后验证IP识别功能

通过以上方法，绝大多数攻击地图显示问题都能得到有效解决。如遇特殊情况，建议检查完整的系统日志和网络配置，确保T-Pot能够正常获取所需的地理位置数据。