【谛听】蜜罐服务无法访问排查思路
问题背景
谛听蜜罐部署及运维使用过程中,可能会出现配置的蜜罐服务无法访问的情况,莫慌,首先蜜罐服务无法访问不会影响客户业务,其次可以参考下面的常见排查思路进行处理。
无法访问的可能原因
- 探针绑定服务问题;
- 探针自身状态异常;
- 蜜罐内部问题(如容器未起来,容器内服务异常,容器间通信异常等);
- 网络问题(如蜜罐服务的端口被限制,请求蜜罐服务端口的报文被中间安全设备拦截等);
Web蜜罐无法访问
web蜜罐无法通过浏览器正常访问,可参考以下步骤排查
-
第一步:确保客户端到蜜罐服务绑定的探针端口(或映射后端口)网络可达,未被中间安全设备拦截。
-
第二步:在管理端页面查看对应探针所显示的端口绑定是否正常(绿色)
![]()
a、如果是绿色如上方页面,而蜜罐无法访问,这种情况下访问探针通常会得到空白页面,说明蜜罐内部出了问题
b、如果不是绿色,访问出现下方页面,可能是探针的问题,尝试重启探针 → 【探针问题排查】
![]()
-
第三步: 如果既不是空白页面也不是上方页面,则是内部服务出了问题,进入蜜罐执行下方命令,并且将访问时得到的日志截图,或者复制下来找长亭技术协助排查。
cat /var/log/sap.log
cat /val/log/init.log
- 第四步: 尝试自主解决
进入蜜罐容器,重启该蜜罐内所有服务再次访问
在谛听管理端执行:
docker ps -a #即可查看所有蜜罐,蜜罐容器均有honeypot标志识别,最左侧有一个 CONTAINER ID,记录这一列的值,就得到了容器id
docker exec -it (container_id) bash #即可进入蜜罐,可在容器内执行命令
在蜜罐容器内执行:
supervisorctl restart all #重启该蜜罐内所有服务
非Web蜜罐无法访问
- 第一步:确保客户端到蜜罐服务绑定的探针端口(或映射后端口)网络可达,未被中间安全设备拦截。
- 第二步: 无法访问时仍然遵循上方第二步,先排查探针情况,再进行下一步;
- 第三步: 在宿主机执行 docker logs -f xxxxxxx (其中xxxxx代表docker容器的id,可通过docker ps -a获取),检查打印输出的日志详情,反馈给长亭技术支持协助处理。
