HFish ~ 配置个超帅的蜜罐来发现攻击者的破绽
介绍
蜜罐,一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
HFish,一款免费、简单、安全的蜜罐产品,帮助用户在日常安全运营中增加威胁感知,发现攻击者的破绽并进行相关处理,被广泛应用于感知办公内网、生产环境、云内网及其他环境失陷主机横向移动、员工账号外泄、扫描和探测行为、私有情报生产甚至内部演练和安全意识培训,HFish的多种告警输出形式与态感、NDR、XDR或日志平台结合,极大拓展检测视野,采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。
在HFish中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。当然,也可以直接通过安装管理端,通过管理端内的内置节点,直接进行蜜罐服务测试。
效果图:
环境需求:
- 部署在内网的蜜罐:
| 管理端 | 节点端 | |
|---|---|---|
| 建议配置 | 2核4g200G | 1核2g50G |
| 最低配置 | 1核2g100G | 1核1g50G |
- 部署在外网的蜜罐:
| 管理端(必须更换mysql数据库) | 节点端 | |
|---|---|---|
| 建议配置 | 5个节点以内,4核8g200G。 | 1核2g50G |
| 最低配置 | 2核4g100G | 1核1g50G |
注意:日志磁盘占用情况受攻击数量影响较大,建议管理端配置200G以上硬盘空间。
部署方法一:从源代码安装
建议使用CentOS系统来进行配置
第一步:开启防火墙(如之后蜜罐服务需要占用其他端口,可使用相同命令打开)
firewall-cmd --add-port=4433/tcp --permanent #(用于web界面启动)
firewall-cmd --add-port=4434/tcp --permanent #(用于节点与管理端通信)
firewall-cmd --reload第二步:运行以下代码
bash <(curl -sS -L https://hfish.net/webinstall.sh)部署完成后可以访问 https://<your-ip>:4433/web/ 来访问HFish
账号:admin
密码:HFish2021
HFish会自动在管理端上创建一个节点。可进行登录后,在「节点管理」列表中进行查看。
该节点将默认开启部分服务,包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。注意:该节点不能被删除,但可以暂停。
新增节点
- 进入【节点管理】页面,点击【增加节点】
- 根据节点设备类型选择对应的安装包和回连地址
在节点机器执行命令语句或安装包,即可成功部署节点。
相关地址:
原文链接:https://blog.fuyiran.link/Technology/23.html
版权声明:本博客所有文章除特別声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 傅说 (blog.fuyiran.link)