HFish ~ 配置个超帅的蜜罐来发现攻击者的破绽

发布时间: 2024-09-21

介绍

蜜罐,一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

HFish,一款免费、简单、安全的蜜罐产品,帮助用户在日常安全运营中增加威胁感知,发现攻击者的破绽并进行相关处理,被广泛应用于感知办公内网、生产环境、云内网及其他环境失陷主机横向移动、员工账号外泄、扫描和探测行为、私有情报生产甚至内部演练和安全意识培训,HFish的多种告警输出形式与态感、NDR、XDR或日志平台结合,极大拓展检测视野,采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。

在HFish中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。当然,也可以直接通过安装管理端,通过管理端内的内置节点,直接进行蜜罐服务测试。

效果图:

环境需求:

  1. 部署在内网的蜜罐:
  管理端 节点端
建议配置 2核4g200G 1核2g50G
最低配置 1核2g100G 1核1g50G
  1. 部署在外网的蜜罐:
  管理端(必须更换mysql数据库) 节点端
建议配置 5个节点以内,4核8g200G。 1核2g50G
最低配置 2核4g100G 1核1g50G

注意:日志磁盘占用情况受攻击数量影响较大,建议管理端配置200G以上硬盘空间。

部署方法一:从源代码安装

建议使用CentOS系统来进行配置

第一步:开启防火墙(如之后蜜罐服务需要占用其他端口,可使用相同命令打开)

firewall-cmd --add-port=4433/tcp --permanent   #(用于web界面启动)
firewall-cmd --add-port=4434/tcp --permanent   #(用于节点与管理端通信)
firewall-cmd --reload
Bash

第二步:运行以下代码

bash <(curl -sS -L https://hfish.net/webinstall.sh)
Bash

部署完成后可以访问 https://<your-ip>:4433/web/ 来访问HFish

账号:admin
密码:HFish2021

HFish会自动在管理端上创建一个节点。可进行登录后,在「节点管理」列表中进行查看。

该节点将默认开启部分服务,包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。注意:该节点不能被删除,但可以暂停。

新增节点

  1. 进入【节点管理】页面,点击【增加节点】
  2. 根据节点设备类型选择对应的安装包和回连地址
  3. 在节点机器执行命令语句或安装包,即可成功部署节点。

    相关地址:

    官网:https://hfish.net

请在下方留下您的评论.加入TG吹水群