蜜罐,一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
HFish,一款免费、简单、安全的蜜罐产品,帮助用户在日常安全运营中增加威胁感知,发现攻击者的破绽并进行相关处理,被广泛应用于感知办公内网、生产环境、云内网及其他环境失陷主机横向移动、员工账号外泄、扫描和探测行为、私有情报生产甚至内部演练和安全意识培训,HFish的多种告警输出形式与态感、NDR、XDR或日志平台结合,极大拓展检测视野,采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。
在HFish中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。当然,也可以直接通过安装管理端,通过管理端内的内置节点,直接进行蜜罐服务测试。
管理端 | 节点端 | |
---|---|---|
建议配置 | 2核4g200G | 1核2g50G |
最低配置 | 1核2g100G | 1核1g50G |
管理端(必须更换mysql数据库) | 节点端 | |
---|---|---|
建议配置 | 5个节点以内,4核8g200G。 | 1核2g50G |
最低配置 | 2核4g100G | 1核1g50G |
注意:日志磁盘占用情况受攻击数量影响较大,建议管理端配置200G以上硬盘空间。
建议使用CentOS系统来进行配置
部署完成后可以访问 https://<your-ip>:4433/web/
来访问HFish
账号:admin
密码:HFish2021
HFish会自动在管理端上创建一个节点。可进行登录后,在「节点管理」列表中进行查看。
该节点将默认开启部分服务,包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。注意:该节点不能被删除,但可以暂停。
在节点机器执行命令语句或安装包,即可成功部署节点。