一、蜜罐介绍
蜜罐技术本质上是一种对攻击方进行 欺骗的技术,通过布置一些作为 诱饵的主机、网络服务 或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 捕获 和 分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐 好比是 情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
HFish蜜罐支持SSH、FTP、TFTP、MySQL、Redis、Telnet、VNC、Memcache、Elasticsearch、Wordpress、OA系统等10多种蜜罐服务,支持用户制作自定义Web蜜罐;
二、HFish的网络环境
1、通信端口
Server端应部署在安全区,只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口。
服务端用于配置管理的web页面开启了https,默认访问端口为4433,默认页面在web目录下。(端口和目录,可以在config.ini中自行配置)。
需要的端口:
4433端口和22端口,为登录和管理端口,4434端口,“必须能”被蜜罐节点通信端口。
2、服务端安装
a、 下载、解压缩
mkdir /opt/hfish && cd /opt/hfish
wget https://hfish.cn-bj.ufileos.com/hfish-2.5.0-linux-amd64.tar.gz
tar -zxvf hfish-2.5.0-linux-amd64.tar.gz -C hfish#控制端所在目录
/opt/hfish/#节点端所在目录
/opt/hfish/clientb、防火墙端口放通
请防火墙开启4433或者4434,确认返回success(如果有其他服务需要打开端口,使用相同命令打开。
firewall-cmd --add-port=4433/tcp --permanent
firewall-cmd --add-port=4434/tcp --permanent
firewall-cmd --reloadc、启动服务
进入安装目录直接运行server,或者后台运行
nohup ./server &d、登陆web界面
登陆链接:https:// [ip]:4433/web
账号:admin
密码:HFish2021三、服务配置
1、下载蜜罐服务
【服务管理】中下载蜜罐服务
a、打开【服务管理】页面,首次登陆页面上蜜罐服务都是灰色。
b、选择自己需要的蜜罐服务进行下载。
2、创建模板
3、添加节点
4、安装客户端服务
sh -c "$(curl -k https://172.16.20.235:4434/tmp/BOMrb3XjmEtZ.sh )"
可以看到客户端已经上线
