蜜罐HFish的使用介绍

news/2024/4/21 12:51:19/文章来源:https://blog.csdn.net/weixin_44143876/article/details/136466029

名词解释

蜜罐 :技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务 或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获 和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

什么是HFish?

HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

HFish支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、安全产品、无线AP、交换机/路由器、邮件系统、IoT设备等90多种蜜罐服务、支持用户制作自定义Web蜜罐、支持流量牵引到免费云蜜网、支持可开关的全端口扫描感知能力、支持可自定义的蜜饵配置、一键部署、跨平台多架构,支持Linux x32/x64/ARM、Windows x32/x64平台和多种国产操作系统、支持龙芯、海光、飞腾、鲲鹏、腾云、兆芯等国产CPU、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率。

HFish架构

HFish采用B/S架构,HFish由管理端(server)节点端(client)组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。

节点Windowsliunx x86
管理端(Server)支持64位支持64位
节点端(Client)支持64位和32位支持64为和32位

在HFish中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。

HFish各模块关系图

在这里插入图片描述

部署

用户需要先部署管理端,再通过管理端内置蜜罐节点或部署新节点

配置要求

HFish部署在内网所需配置

部署在内网的蜜罐对性能要求较低,针对过往测试情况,给出两个配置。

配置管理端节点端
建议配置2核4g200G1核2g50G
最低配置1核2g100G1核1g50G

注意:日志磁盘占用情况受攻击数量影响很大,建议管理端配置200G以上硬盘空间。

HFish部署在外网所需配置(必须更换MySQL数据库)

部署在公网的蜜罐因遭受更多攻击,因此会有更大性能需求。默认使用SQLite数据库

配置管理端节点端
建议配置4核8g200G1核2g50G
最低配置2核4g100G1核1g50G

注意:日志磁盘占用情况受攻击数量影响较大,建议管理端配置200G以上硬盘空间。

HFish部署权限要求
  • 1、如果使用官网推荐的install.sh脚本安装,必须具备root权限,安装目录会位于opt目录下;
  • 2、如果下载安装包手动安装,在默认使用SQLite数据库情况下,管理端的部署和使用不需要root权限,但如果后续需要替换SQLite改为MySQL数据,则MySQL安装和配置需要root权限;
  • 3、节点端安装和运行无需root权限,但是由于操作系统限制,非root权限运行的节点无法监听低于TCP/1024的端口;

Linux联网环境,一键安装

如果蜜罐节点暴露在互联网,可能会出现TCP连接超过最大1024个连接数限制,导致其他连接被拒绝的情况,可手动放开机器TCP最大连接数。

Linux作为服务器系统,当socket运行高并发TCP程序时,通常会出现连接建立到一定个数后不能再建立连接的情况,本人在工作时,测试高并发tcp程序(GPS服务器端程序),多次测试,发现每次连接建立到1000左右时,再也不能建立tcp连接,最总上网搜索,linux系统默认ulimit为1024个访问用户最多可开启的程序数目。一般一个端口的最高连接为2的16次方65535

解决Linux下解决高并发socket最大连接数限制

1、以root权限运行以下命令,确保配置防火墙开启TCP/4433、TCP/4434

HFish默认端口占用4433(用于web界面的访问)和4434(用于节点与管理端通信)

firewall-cmd --add-port=4433/tcp --permanent   
firewall-cmd --add-port=4434/tcp --permanent   
firewall-cmd --reload
2、以root权限运行以下一键部署命令

使用shell脚本安装

bash <(curl -sS -L https://hfish.net/webinstall.sh)

在这里插入图片描述

3、完成安装后,通过以下网址、账号密码登录

登陆链接:https://[ip]:4433/web/
账号:admin
密码:HFish2021
URL中/web/路径不能少

4、安装完成

登录后,在「节点管理」页面中可看到管理端服务器上的默认节点,如下图:
在这里插入图片描述

Linux无法联网,手动安装

如果您的环境无法联网,可以尝试手动安装。

下载安装包:

点击 hfish-3.3.4-linux-amd64.tgz安装包 获取安装包,以Linux 64位系统为例

创建一个目录用于后续存放解压缩文件
mkdir /home/user/hfish

复制失败成功
将HFish安装文件解压到刚才创建的目录中

tar zxvf hfish-3.3.4-linux-amd64.tgz -C /home/user/hfish

复制失败成功

以root权限运行以下命令,确保配置防火墙开启TCP/4433、TCP/4434
sudo firewall-cmd --add-port=4433/tcp --permanent   
sudo firewall-cmd --add-port=4434/tcp --permanent   
sudo firewall-cmd --reload
进入安装目录直接运行install.sh
cd /home/user/hfish
sudo ./install.sh
登陆web界面

数据库选择

出于开箱即用考虑,HFish系统默认使用的SQLite数据库,自带的已经初始化好的db具体路径为/usr/share/db/hfish.db

SQLite数据库仅适用于功能预览、小规模内网环境失陷感知等有限场景。

SQLite更换为MySQL/MariaDB数据库

HFish提供两种更换数据库的机会:

  • 1、在首次安装时,用户可以选择使用SQLite或MySQL/MariaDB数据库
  • 2、如果已经选择了SQLite,以管理员身份登录后,在「数据库配置」页面,根据指南可快速更换数据库

在这里插入图片描述

版本升级

HFish v2.7.0(含)及后续版本支持Web页面自动升级,如果版本低于v2.7.0,请卸载重新部署。

联网情况

HFish v2.7.0(含)及后续版本中,HFish会自动检测到升级包,用户点击右上角火箭,点击「确认升级」,即可完成升级。

非联网情况

HFish v2.7.0(含)及后续版本中,用户点击右上角火箭,点击「上传安装包」,点击「确认升级」,即可完成升级。
在这里插入图片描述

节点管理

内置节点

安装HFish管理端后,在管理端所在机器上会默认建立节点感知攻击,该节点被命名为【内置节点】。
在这里插入图片描述
该节点将默认开启部分服务,包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。

注意:该节点不能被删除,但可以暂停。

新增节点

1、进入【节点管理】页面,点击【增加节点】
在这里插入图片描述
2、根据节点设备类型选择对应的安装包和回连地址
在这里插入图片描述
3、回连地址设置
在这里插入图片描述
HFish会自动获取当前服务器IP地址,但是例如在云环境,有时候获取的是内网地址,用户需要确保该回连地址和端口确实可以被所有节点联通。
在这里插入图片描述

在节点机器执行命令语句或安装包,即可成功部署节点。

测试样式

SSH蜜罐

在终端里,尝试连接蜜罐的ssh端口,会显示“Permission denied, please try again.”
在这里插入图片描述
这时攻击列表会记录下所有测试过的用户名和密码
在这里插入图片描述

FTP蜜罐

用FTP终端尝试连接FTP蜜罐端口,会在攻击列表中出现FTP蜜罐报警
在这里插入图片描述

HTTP蜜罐

HTTP蜜罐为http代理蜜罐,利用http代理工具连接蜜罐端口
在这里插入图片描述
攻击列表中的显示信息如下
在这里插入图片描述

Telnet蜜罐

利用Telnet应用连接蜜罐端口
在这里插入图片描述
攻击列表中显示信息如下
在这里插入图片描述

MySQL蜜罐

用MySQL工具连接蜜罐对应端口,可输入指令。
在这里插入图片描述
在管理端,可以看到攻击者的攻击记录以及其本地的etc/group信息
在这里插入图片描述

Web蜜罐

Web蜜罐用浏览器访问相应的端口,并尝试输入【用户名】和【密码】后
在这里插入图片描述
会提示用户名和密码错误
在这里插入图片描述
服务端后台会获取攻击者用于尝试的用户名和密码
在这里插入图片描述

Redis蜜罐

使用Redis客户端远程登录Redis
在这里插入图片描述
进入管理端,可以看到攻击详情
在这里插入图片描述

VNC蜜罐

通过VNC viewer进行登陆尝试,输入IP和端口
在这里插入图片描述
在管理端,可以看到相关攻击记录
在这里插入图片描述

MemCache蜜罐

通过Telnet(或其他方式)尝试连接MemCache
在这里插入图片描述
进入管理端,可以查看攻击详情
在这里插入图片描述

ElasticSearch蜜罐

通过IP和端口,可以登陆查看ElasticSearch蜜罐
在这里插入图片描述
进入管理端,可以看到攻击的请求详情
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_996629.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【深度学习笔记】计算机视觉——目标检测和边界框

目标检测和边界框 前面的章节&#xff08;例如 sec_alexnet— sec_googlenet&#xff09;介绍了各种图像分类模型。 在图像分类任务中&#xff0c;我们假设图像中只有一个主要物体对象&#xff0c;我们只关注如何识别其类别。 然而&#xff0c;很多时候图像里有多个我们感兴趣…

Uniapp ios 真机调试

Uniapp ios 真机调试 1.下载爱思助手 下载链接&#xff1a; 链接 二、 添加IPA文件&#xff1a; 三、添加AppleID&#xff1a; 三&#xff0c;将签名的 IPA 文件 迁移到 HBuilderX安装目录\plugins\launcher\base &#xff08;1&#xff09;将 iPhone_base.ipa 改成 iP…

day52(vueJS)json-server模拟数据

json-server介绍&#xff1a;&#xff1a;&#xff1a;JSON Server 是一个用于快速搭建 REST API 的工具&#xff0c;它可以帮助我们在开发过程中快速模拟 一个后端 API 服务器&#xff0c;方便前端开发人员进行接口调试和开发。使用 JSON Server&#xff0c;你可以通过创建一个…

【应用多元统计分析】--多元数据的直观表示(R语言作图)

例1.2 为了研究全国31个省、市、自治区2018年城镇居民生活消费的分布规律&#xff0c;根据调查资料做区域消费类型划分。 指标&#xff1a; 食品x1&#xff1a;人均食品支出(元/人) 衣着x2&#xff1a;人均衣着商品支出(元/人) 居住x3&#xff1a;人均居住支出(元/人) 生活x4…

吼!原来教师这样发布学生成绩,轻松没烦恼

在教育的日常工作中&#xff0c;发布学生成绩往往是一项繁琐而重要的任务。教师们需要确保每位学生及家长能准确、及时地了解到学习成果。然而&#xff0c;传统的纸质成绩单或逐个通知的方式不仅耗时耗力&#xff0c;还容易出错。那么&#xff0c;有没有一种方法能够让教师们轻…

Docker基础教程 - 2 Docker安装

更好的阅读体验&#xff1a;点这里 &#xff08; www.doubibiji.com &#xff09; 2 Docker安装 Docker 的官网地址&#xff1a;https://www.docker.com/&#xff0c;在官网可以找到 Docker Engine 的安装步骤。 下面进行 Docker 环境的安装&#xff0c;正常情况下 Docker …

大数据核心技术概论

大数据核心技术概述 大数据基石三大论文&#xff1a;GFS&#xff08;Hadoop HDFS&#xff09;、BigTable&#xff08;Apache HBase&#xff09;、MapReduce&#xff08;Hadoop MapReduce&#xff09;。 搜索引擎的核心任务&#xff1a;一是数据采集&#xff0c;也就是网页的爬…

Linux学习笔记——基本操作命令

目录 一、Shell 命令基础1、Shell 简介2、Shell 命令格式3、显示系统信息命令4、Shell 使用技巧 二、Linux 文件及目录管理1、Linux操作系统的目录结构2、文件及目录显示类命令3、文件及目录操作类命令4、文件内容的显示和处理5、文件查找类命令 三、vi、vim 编辑器的使用四、文…

【Linux】文件操作

文章目录 预备知识C语言文件接口fopen()函数w方式a方法 fwrite()fprintf()fputs()fread()fgets()标准输入输出流 系统调用接口标志位文件权限fclose()write()read() 前言&#xff1a;本文探讨的是“打开的”文件。 预备知识 如进程一样&#xff0c;文件 文件属性 文件内容文…

xinput1_3.dll丢失都有什么办法可以有效的解决、xinput1_3.dll导致游戏不能启动怎么办?

使用电脑的过程中是不是会遇到关于某个dll文件丢失的提示&#xff0c;今天想和大家聊的是xinput1_3.dll文件&#xff0c;如果电脑提示xinput1_3.dll丢失有什么办法可以有效的解决&#xff0c;解决办法都有哪些&#xff0c;如果xinput1_3.dll丢失会对电脑有什么影响。&#xff0…

【AI视野·今日Robot 机器人论文速览 第八十三期】Wed, 6 Mar 2024

AI视野今日CS.Robotics 机器人学论文速览 Wed, 6 Mar 2024 Totally 30 papers &#x1f449;上期速览✈更多精彩请移步主页 Interesting: &#x1f4da;SpaceHopper,外星探索多功能三足机器人 (from Robotic Systems Lab, ETH Zurich) Daily Robotics Papers A Safety-Criti…

Java红黑树实现Map简单示例

红黑树&#xff08;Red-Black Tree&#xff09;是一种自平衡的二叉搜索树&#xff0c;它是由 Rudolf Bayer 在 1972 年提出的&#xff0c;后来由 Leo J. Guibas 和 Robert Sedgewick 在 1978 年发表的论文中形式化定义。 红黑树具有以下特性&#xff1a; 1.节点颜色&#xff1…

亚信安慧AntDB:数据管理的创新先锋

在亚信安慧AntDB数据库中&#xff0c;其卓越的创新能力得以充分体现&#xff0c;其独特之处在于融合统一与实时处理这两大关键领域。AntDB以其独特的技术和理念&#xff0c;引领着数据库领域的发展潮流&#xff0c;成为众多企业和机构首选的数据库解决方案。在这个信息化时代&a…

AI加速“应用现代化”,金融核心系统转型正当时

数字经济时代&#xff0c;金融机构需要快速感知客户需求&#xff0c;提升产品供给的敏捷度&#xff0c;才能在白热化的竞争环境中抢占先机&#xff0c;而无论是金融机构还是方案提供商&#xff0c;都需要深入思考核心系统现代化的内涵&#xff0c;携手迈出应用现代化的重要一步…

【Qt】初识Qt

文章目录 一. 行业岗位介绍二. 什么是客户端&#xff1f;三. GUI 开发的各自技术方案四. 什么是框架&#xff1f;五. Qt 的发展史五. Qt 支持的系统六. Qt 的优点 一. 行业岗位介绍 二. 什么是客户端&#xff1f; 既然 Qt 是用来进行客户端开发的&#xff0c;那我们就要了解什…

Python遗传算法搜索最优最短路径

程序示例精选 Python遗传算法搜索最优最短路径 如需安装运行环境或远程调试&#xff0c;见文章底部个人QQ名片&#xff0c;由专业技术人员远程协助&#xff01; 前言 这篇博客针对《Python遗传算法搜索最优最短路径》编写代码&#xff0c;代码整洁&#xff0c;规则&#xff0…

基于状态机的按键消抖实现

摸鱼记录 Day_14 !(^O^)y review 在day_13中以按键状态判断为例学习了状态分析基于状态机的按键消抖原理-CSDN博客 分析得到了下图&#xff1a; 今日任务&#xff1a;完成此过程 !(^O^)y 小梅哥对应视频&#xff1a; 15B 基于状态机的按键消抖Verilog实现_哔哩哔哩…

手回科技:人生的“小雨伞”,能否撑起自己的增长路?

有道是一年之计在于春。新年伊始&#xff0c;多家券商发布研报表达了对2024年保险市场表现的观点。 比如&#xff0c;开源证券表示&#xff0c;政策组合拳带来beta催化&#xff0c;保险业务端和弹性占优&#xff1b;中国银行证券指出&#xff0c;2024年&#xff0c;保险行业景…

[C#]winform基于C2PNet算法实现室内和室外图像去雾

【CP2Net框架】 https://github.com/YuZheng9/C2PNet 【CP2Net介绍】 Abstract 考虑到不适定的性质&#xff0c;发展了单图像去模糊的对比正则化&#xff0c;引入了来自负图像的信息作为下界。然而&#xff0c;对比样本是非一致的&#xff0c;因为阴性通常距离清晰&#xff…

云原生之容器编排实践-ruoyi-cloud项目部署到K8S:Nacosv2.2.3

背景 前面搭建好了 Kubernetes 集群与私有镜像仓库&#xff0c;终于要进入服务编排的实践环节了。本系列拿 ruoyi-cloud 项目进行练手&#xff0c;按照 MySQL &#xff0c; Nacos &#xff0c; Redis &#xff0c; Nginx &#xff0c; Gateway &#xff0c; Auth &#xff0c;…