SSH-Tarpit Daten analysieren

Wie man bequem die Log-Dateien des SSH-Tarpit auswertet Lesezeit: 4 Minuten

Fr, 14. Januar 2022, Norbert Rüthers

Heute geht es darum, die vom SSH-Tarpit generierten Log-Dateien nach allen Regeln der Kunst auszuwerten. Dabei kommen sehr interessante Dinge heraus, die einigen Aufschluss über die weltweiten Aktivitäten von Angreifern geben

Es sind nämlich nicht nur die üblichen Verdächtigen im Spiel, von denen man es immer zuerst annimmt. Ausserdem lässt sich einiges über die Effektivität von Tarpit herausfinden. Wie ich finde eine sehr lehrreiche und spannende Angelegenheit.

Zu diesem Zweck haben einige Entwickler ein paar Tools programmiert, die die Auswertung um einiges komfortabler machen. Herunterladen kann man die Analysetools von der Github-Seite

Zu Beginn erstellt man sich ein Verzeichnis, in das alle Tools kopiert werden. Die gelb markierten Dateien müssen heruntergeladen werden. Die IP-locations.zip muss entpackt werden. Sofern man noch über keine eigenen Logfiles verfügt, ebenfalls die tarpit-demo-data.zip

Die vom SSH-Tarpit generierte Rohdatei tarpit.log muss sich im selben Verzeichnis befinden

Beispiel:

Dann startet man, ein installiertes Java vorausgesetzt, das Konvertierungstool mit folgendem Befehl.

java -jar TarpitConv.jar

Es wird eine Datei log.txt erzeugt, auf die alle anderen Tools aufsetzen.

Danach geht es weiter

Die Datei "ip-locations.txt" muss sich dazu ebenfalls im Verzeichnis befinden

java -jar TarpitAn.jar

Die Datei result.txt wird erzeugt.

Beispiel:

Um auswertbare Geodaten zu generieren, bitte folgenden Befehl eingeben

java -jar TarpitAnGeo.jar

Als Ergebnis wird eine kml Datei zur weiteren Verarbeitung z.B. in Google Maps erzeugt. Je nach Grösse der Log-Datei und der eingesetzten Hardware kann das einige Stunden dauern.