介绍

蜜罐，一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

HFish，一款免费、简单、安全的蜜罐产品，帮助用户在日常安全运营中增加威胁感知，发现攻击者的破绽并进行相关处理，被广泛应用于感知办公内网、生产环境、云内网及其他环境失陷主机横向移动、员工账号外泄、扫描和探测行为、私有情报生产甚至内部演练和安全意识培训，HFish的多种告警输出形式与态感、NDR、XDR或日志平台结合，极大拓展检测视野，采用B/S架构，系统由管理端和节点端组成，管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务。

在HFish中，管理端只用于数据的分析和展示，节点端进行虚拟蜜罐，最后由蜜罐来承受攻击。当然，也可以直接通过安装管理端，通过管理端内的内置节点，直接进行蜜罐服务测试。

效果图：

环境需求：

1. 部署在内网的蜜罐：

2. 部署在外网的蜜罐：

注意：日志磁盘占用情况受攻击数量影响较大，建议管理端配置200G以上硬盘空间。

部署方法一：从源代码安装

建议使用CentOS系统来进行配置

第一步：开启防火墙（如之后蜜罐服务需要占用其他端口，可使用相同命令打开）

第二步：运行以下代码

部署完成后可以访问 https://<your-ip>:4433/web/ 来访问HFish

账号：admin
密码：HFish2021

HFish会自动在管理端上创建一个节点。可进行登录后，在「节点管理」列表中进行查看。

该节点将默认开启部分服务，包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。注意：该节点不能被删除，但可以暂停。

新增节点

1. 进入【节点管理】页面，点击【增加节点】
   
2. 根据节点设备类型选择对应的安装包和回连地址
   

3. 在节点机器执行命令语句或安装包，即可成功部署节点。
   

   相关地址：

   官网：https://hfish.net