本日は、Ddospotを本記事を書きながら、記載していってみたいと思います。T-Potのドキュメントで「Ddospot」を検索すると4つ記載があります。
1つ目はTechnical Conceptに記載がありリンクをクリックすると、githubのDdospotのページに飛びます。T-Potは色々なハニーポットの詰め合わせなので、Dsospot単体のページと理解しました。下記、ページ内のAboutを引用させていただきます。
DDoSPot is a honeypot “platform” for tracking and monitoring UDP-based Distributed Denial of Service (DDoS) attacks. The platform currently supports following honeypot services/servers in form of relatively simple plugins called pots:
DNS server
NTP server
SSDP server
CHARGEN server
Random/mock UDP server
DNS、NTPは分かるのですが、後の3つは聞いたことがありません。割り切ってDNSに絞り確認します。こちらも引用させていただきます。
DNS plugin is based on UDPot and uses Twisted framework/engine. It tries to emulate real DNS service as close as posible, by forwarding all requests to a valid recursive resolver and returns arbitrary response to CHAOS query. Amplification factor thus depends on the returned response.
ドキュメントを読み進めると、Instllation、Configurationとあります。こちらはT-Pot導入時に済んでいるので、一旦は読み飛ばしてもよさそうです。Usageには./ddospot.py で起動するようです。T-Pot上で場所がどこにあるか不明だった為、find / -name ddospot.py で検索し、2つほど検出されましたが、どちらも起動しませんでした。理由は今のところ分かりません。
T-Potのページに戻り2つ目の記載、Required Portsを確認しました。下記の通りであり、53,123はそれぞれDNS、NTPであることが分かります。
19, 53, 123, 1900 udp incoming Honeypot: Ddospot
3つ目はLisensesに関することで、DdospotはMIT license:とのこと。リンク先にMIT Licenseに関する記載がありました。
4つ目はCreditsの項目の中にあり、Ddospotをクリックした先で、下記の画面が表示されました。現時点では理解はできていません。
