HFish跨平台蜜罐平台 v2.3.0.zip

#  > 专为诱捕溯源网络攻击者打造的蜜罐系统 # 什么是 HFish > **`HFish`** 是一款基于 **`Golang`** 开发的跨平台高交互蜜罐系统 HFish承载了全新的架构理念和实现方案，增加了蜜罐在威胁情报和诱捕溯源领域的能力，帮助企业在红蓝对抗中自动化的对攻击者进行画像和追溯。 此外，我们将重点关注企业安全场景，从攻击、处置、溯源角度提升产品联通能力。从威胁分析、告警策略与办公管理多方面出发，为企业用户提供更高的可用性与可拓展性。 我们深知企业环境特殊性，为了便于快速部署和敏捷管理，HFish提供了一系列方便运维和管理的技术，包括：一键闪电部署、应用模板批量管理、节点服务动态调整等特性…… <img src="https://hfish.cn-bj.ufileos.com/images/image-20210324215337841.png" alt="image-20210324215337841" style="zoom:50%;" /> ## 什么是蜜罐 **蜜罐** 技术本质上是一种对攻击方进行 **欺骗的技术**，通过布置一些作为 **诱饵的主机**、**网络服务** 或者 **信息**，诱使攻击方对它们实施攻击，从而可以对攻击行为进行 **捕获** 和 **分析**，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。 **蜜罐** 好比是 **情报收集系统**。蜜罐好像是故意让人攻击的目标，**引诱黑客前来攻击**。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。 ## 我们的故事 2019年的8月7日，我们发布了第一个版本的HFish，在16个月里，HFish在Github上获得2.6k个star，在Gitee上成为安全类目TOP5的GVP项目。 2021年2月9日，融合社区反馈和过去2年的思考，我们发布了全新概念的威胁捕获和诱捕系统HFish v2.0.0 社区版，社区版采用闭源共享方式向所有用户免费授权使用。 # Server端部署 ## linux > 通过https://hfish.io/download.html下载符合自己系统架构HFish服务端安装包 ```shell wget http://hfish.cn-bj.ufileos.com/hfish-2.1.0-linux-amd64.tar.gz ``` > 解压缩 ```shell tar -xzvf hfish-2.1.0-linux-amd64.tar.gz ``` > 执行 ./server命令运行服务端，当然您也可以使用nohup，让服务端进程后台运行。 ``` nohup ./server & ``` > 补充服务包 服务端自带的Linux-amd64的服务包，如果您有部署其它系统架构节点的需求，请额外下载下面的服务包，并解压到packages目录下。 ```shell #X86架构32位Linux http://hfish.cn-bj.ufileos.com/services-linux-386.tar.gz #ARM架构64位Linux http://hfish.cn-bj.ufileos.com/services-linux-arm64.tar.gz #X86架构32位Windows http://hfish.cn-bj.ufileos.com/services-windows-386.tar.gz #X86架构64位Windows http://hfish.cn-bj.ufileos.com/services-windows-amd64.tar.gz ``` ```shell #下载解压示范,请自行替换链接、文件夹路径和包文件名 wget http://hfish.cn-bj.ufileos.com/services-windows-amd64.tar.gz cd packages tar -xzvf services-windows-amd64.tar.gz ``` ## windows > 下载OneFish ​ 访问我们官网的[下载页面](https://hfish.io/download.html)，下载最新版的服务端并解压。 > 运行文件目录下的server.exe ## services ### 蜜罐服务说明 > 高交互蜜罐和低交互蜜罐 接触蜜罐产品中我们经常会听到关于高交互蜜罐和低交互蜜罐，两种蜜罐根据与攻击者的交互程度不同而不同。两种类型的蜜罐在使用场景上有所区别。 - 高交互蜜罐 高交互蜜罐可以跟攻击者进行更多的互动，从而收集更多的攻击者行为数据，能为溯源工作提供更多的参考信息。 高交互蜜罐也有自己的局限性，高交互蜜罐通常意味着更高的资源占用，和相应更高的业务风险。 - 低交互蜜罐 低交互蜜罐通常跟攻击者之间的交互行为要少一些，不过因为蜜罐产品具有“访问既是风险”的特性，只要能够实现访问就报警，就能解决失陷报警的使用场景。 低交互蜜罐的局限性跟高交互蜜罐的局限性恰好相反，低交互蜜罐服务对节点资源的占用更少、业务安全性更高。但因为无法获得更多元的攻击信息，对于溯源工作的帮助不如高交互蜜罐高。 高交互蜜罐和低交互蜜罐并无好坏差异，根据自己的业务选择更适合自己的方案即可。 > 目前蜜罐的服务支持4大类，13种不同的蜜罐服务（蜜罐服务还在持续增加），截止本文档发布，OneFish的蜜罐都是低交互蜜罐。 1. 常见的Linux服务 包括SSH蜜罐、FTP蜜罐、TFTP蜜罐、TELNET蜜罐、VNC蜜罐、HTTP蜜罐 2. 常见Web应用仿真 包括WordPress仿真登陆蜜罐、通用OA系统仿真登录蜜罐 3. 常见的数据库服务 MYSQL蜜罐、Redis蜜罐、Memcache蜜罐、Elasticsearch蜜罐 4. 用户自定义蜜罐 # 服务端配置 ## 默认密码 > 初次登陆账号密码为 ```wiki admin / HFish2021 ``` <img src="https://hfish.cn-bj.ufileos.com/images/image-20210318215218016.png" alt="image-20210318215218016" style="zoom:50%;" /> > 登陆后请及时修改您的密码 <img src="https://hfish.cn-bj.ufileos.com/images/image-20210318215106718.png" alt="image-20210318215106718" style="zoom:50%;" /> > 重置密码 需要重置密码，请切换到 server/tools 文件夹： cd server/tools 然后执行： ./tools resetpwd 如果看到 reset admin password success，那就重置成功了 ## 情报对接 > 对接精准的云端的威胁情报后，可以对攻击行为进行更准的研判，帮助我们更科学的进行处置。 对接了威胁情报后，当HFish捕获到了来自外网的攻击行为后，我们可以在攻击列表中了解攻击者的IP情报。HFish会把您在云端查询到的情报在本地缓存7天，保持您攻击情报时效性的同时，节省您的查询次数。 <img src="https://hfish.cn-bj.ufileos.com/images/image-20210318220204897.png" alt="image-20210318220204897" style="zoom:50%;" /> - 我们支持对接两种来自微步在线的威胁情报 > 对接微步在线云API（IP信誉接口） 关于该接口完整的说明，可以参考[微步在线云API文档](https://x.threatbook.cn/nodev4/vb4/API) 本接口在注册后可以获得每日50条云端情报的查询额度，给微步发送扩容邮件后，可以提升到每日200条的额度。详情访问[微步在线X社区](https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3101)。 如果有企业化需求，可以邮件 honeypot@threatbook.cn > 对接TIP的本地情报，您可以跟据页面的描述进行注册和使用。 使用该接口需要购买微步在线的TIP本地情报系统 <img src="https://hfish.cn-bj.ufileos.com/images/image-20210318221558637.png" alt="image-20210318221558637" style="zoom:50%;" /> ## 通知配置 > 通知功能是蜜罐的核心功能之一 对于蜜罐捕获到的信息，跟据您不同的安全运营流程，您可能需要把该信息第一时间通知其它的安全设备，也可能需要把该信息通知给相关的安全运营人员。HFish用三种方式满足您的需求。 - Syslog通知 - 邮件通知 - Webhook通知 <img src="https://hfish.cn-bj.ufileos.com/images/image-20210318215610629.png" alt="image-20210318215610629" style="zoom:50%;" /> > 用 Syslog 联动其它安全设备 您可以自定义接受通知设备的地址、协议和端口，用来接受OneFish捕获的攻击信息和报警。HFish最多支持5路s