纵横靶场：工控蜜罐日志分析

工控安全分析人员在互联网上部署了工控仿真蜜罐，通过蜜罐可抓取并分析互联网上针对工业资产的扫描行为，将存在高危扫描行为的IP加入防火墙黑名单可有效减少工业企业对于互联网的攻击面。分析出日志中针对西门子私有通信协议扫描最多的IP，分析该扫描组织,Flag为该IP的域名,，flag形式为 flag{}。

拿到日志分析文件，使用paython脚本过滤掉这个文件
使它不重样

import fileinput
import re
import os
import shutil
def readIP():
    with open(r'honeypot.log','r') as f:
        for line in f.readlines():
            result2=re.findall('[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}',line)
            if not result2==[]:
                result=result2[0]+'\n'
            with open('ip.txt','a+') as w:
                w.write(result);
def setIp():
    a=0
    readDir='ip.txt'
    writeDir='newip.txt'
    lines_seen=set()
    outfile=open(writeDir,"w");
    f=open(readDir,"r")
    for line in f:
        if line not in lines_seen:
            a+=1
            outfile.write(line)
            lines_seen.add(line)
        print(a)
    outfile.close()

def readDNS():
    with open(r'newip.txt','r') as g:
        for i in g.readlines():
            com=os.popen('nslookup %s'%i)
            comm=com.read();
            if comm.find('NXDOMAIN')==-1:
                print(comm)

if __name__=='__main__':
    readIP()
    setIp()
    readDNS()

根据Windows的限制，可能存在一个无法使用dns的情况，毕竟不是权威服务器
所以可以拿站长工具去查询，或者IPIP工具去查询
https://www.ipip.net/ip.html
查询到这个就应该是我们要找的flag