Honeypot¶
约 727 个字 预计阅读时间 3 分钟
Hfish¶
相关资料
蜜罐 技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务 或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获 和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
HFish 是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
HFish 采用 B/S 架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。
在 HFish 中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。
特点:安全可靠、功能丰富、开放透明、快捷管理
本次安装在 Docker 中部署,首先确认 Docker 已经安装
docker version
在 Docker 中运行新的容器hfish,这里使用的镜像是threatbook/hfish-server
docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest
接下来需要配置阿里云 ESC 安全组的入方向设置,如下图所示
然后可以登录控制台首先,来查看攻击等相关信息
登陆地址:https://[server]:4433/web/
初始用户名:admin
初始密码:HFish2021
查看扫描信息
我们去 shodan 查看第一个 IP 信息
考虑到 SSH 端口开放且有已知漏洞(CVE-2025-20465
下面是另一种 github 源蜜罐
sudo docker pull imdevops/hfish
sudo docker run -d --name hfish \
-p 21:21 -p 2222:22 -p 23:23 -p 69:69 -p 3306:3306 -p 5900:5900 -p 6379:6379 -p 8080:8080 -p 8081:8081 -p 8989:8989 -p 9000:9000 -p 9001:9001 -p 9200:9200 -p 11211:11211 \
-p 80:80 -p 443:443 -p 4433:4433 -p 7879:7879 \
--restart=always imdevops/hfish:latest
sudo docker ps -a
sudo systemctl start firewalld
sudo firewall-cmd --zone=public --add-port=21/tcp --permanent
sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
sudo firewall-cmd --zone=public --add-port=23/tcp --permanent
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --zone=public --add-port=3306/tcp --permanent
sudo firewall-cmd --zone=public --add-port=6379/tcp --permanent
sudo firewall-cmd --zone=public --add-port=9000/tcp --permanent
sudo firewall-cmd --zone=public --add-port=9001/tcp --permanent
sudo firewall-cmd --reload
sudo netstat -tuln | grep -E '21|22|23|80|443|3306|6379'
sudo docker exec -it c26f73155ab6 /bin/sh
cat config.ini
查看配置日志
sudo docker logs c26f73155ab6
之后就可以查看攻击日志了