2023年12月6日发(作者:)

纵横靶场:工控蜜罐日志分析

工控安全分析人员在互联网上部署了工控仿真蜜罐,通过蜜罐可抓取并分析互联网上针对工业资产的扫描行为,将存在高危扫描行为的IP加

入防火墙黑名单可有效减少工业企业对于互联网的攻击面。分析出日志中针对西门子私有通信协议扫描最多的IP,分析该扫描组织,Flag为该

IP的域名,,flag形式为 flag{}。

拿到日志分析文件,使用paython脚本过滤掉这个文件

使它不重样

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

import fileinput

import re

import os

import shutil

def readIP():

with open(r'','r') as f:

for line in nes():

result2=l('[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}',line)

if not result2==[]:

result=result2[0]+'n'

with open('','a+') as w:

(result);

def setIp():

a=0

readDir=''

writeDir=''

lines_seen=set()

outfile=open(writeDir,"w");

f=open(readDir,"r")

for line in f:

if line not in lines_seen:

a+=1

(line)

lines_(line)

print(a)

()

def readDNS():

with open(r'','r') as g:

for i in nes():

com=('nslookup %s'%i)

comm=();

if ('NXDOMAIN')==-1:

print(comm)

if __name__=='__main__':

readIP()

setIp()

readDNS()