# ![image-20210323225511461](https://hfish.cn-bj.ufileos.com/images/image-20210323225511461.png)
> 专为诱捕溯源网络攻击者打造的蜜罐系统
# 什么是 HFish
> **`HFish`** 是一款基于 **`Golang`** 开发的跨平台高交互蜜罐系统
HFish承载了全新的架构理念和实现方案,增加了蜜罐在威胁情报和诱捕溯源领域的能力,帮助企业在红蓝对抗中自动化的对攻击者进行画像和追溯。
此外,我们将重点关注企业安全场景,从攻击、处置、溯源角度提升产品联通能力。从威胁分析、告警策略与办公管理多方面出发,为企业用户提供更高的可用性与可拓展性。
我们深知企业环境特殊性,为了便于快速部署和敏捷管理,HFish提供了一系列方便运维和管理的技术,包括:一键闪电部署、应用模板批量管理、节点服务动态调整等特性……
<img src="https://hfish.cn-bj.ufileos.com/images/image-20210324215337841.png" alt="image-20210324215337841" style="zoom:50%;" />
## 什么是蜜罐
**蜜罐** 技术本质上是一种对攻击方进行 **欺骗的技术**,通过布置一些作为 **诱饵的主机**、**网络服务** 或者 **信息**,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 **捕获** 和 **分析**,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
**蜜罐** 好比是 **情报收集系统**。蜜罐好像是故意让人攻击的目标,**引诱黑客前来攻击**。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
## 我们的故事
2019年的8月7日,我们发布了第一个版本的HFish,在16个月里,HFish在Github上获得2.6k个star,在Gitee上成为安全类目TOP5的GVP项目。
2021年2月9日,融合社区反馈和过去2年的思考,我们发布了全新概念的威胁捕获和诱捕系统HFish v2.0.0 社区版,社区版采用闭源共享方式向所有用户免费授权使用。
# Server端部署
## linux
> 通过https://hfish.io/download.html下载符合自己系统架构HFish服务端安装包
```shell
wget http://hfish.cn-bj.ufileos.com/hfish-2.1.0-linux-amd64.tar.gz
```
> 解压缩
```shell
tar -xzvf hfish-2.1.0-linux-amd64.tar.gz
```
> 执行 ./server命令运行服务端,当然您也可以使用nohup,让服务端进程后台运行。
```
nohup ./server &
```
> 补充服务包
服务端自带的Linux-amd64的服务包,如果您有部署其它系统架构节点的需求,请额外下载下面的服务包,并解压到packages目录下。
```shell
#X86架构32位Linux
http://hfish.cn-bj.ufileos.com/services-linux-386.tar.gz
#ARM架构64位Linux
http://hfish.cn-bj.ufileos.com/services-linux-arm64.tar.gz
#X86架构32位Windows
http://hfish.cn-bj.ufileos.com/services-windows-386.tar.gz
#X86架构64位Windows
http://hfish.cn-bj.ufileos.com/services-windows-amd64.tar.gz
```
```shell
#下载解压示范,请自行替换链接、文件夹路径和包文件名
wget http://hfish.cn-bj.ufileos.com/services-windows-amd64.tar.gz
cd packages
tar -xzvf services-windows-amd64.tar.gz
```
## windows
> 下载OneFish
访问我们官网的[下载页面](https://hfish.io/download.html),下载最新版的服务端并解压。
> 运行文件目录下的server.exe
## services
### 蜜罐服务说明
> 高交互蜜罐和低交互蜜罐
接触蜜罐产品中我们经常会听到关于高交互蜜罐和低交互蜜罐,两种蜜罐根据与攻击者的交互程度不同而不同。两种类型的蜜罐在使用场景上有所区别。
- 高交互蜜罐
高交互蜜罐可以跟攻击者进行更多的互动,从而收集更多的攻击者行为数据,能为溯源工作提供更多的参考信息。
高交互蜜罐也有自己的局限性,高交互蜜罐通常意味着更高的资源占用,和相应更高的业务风险。
- 低交互蜜罐
低交互蜜罐通常跟攻击者之间的交互行为要少一些,不过因为蜜罐产品具有“访问既是风险”的特性,只要能够实现访问就报警,就能解决失陷报警的使用场景。
低交互蜜罐的局限性跟高交互蜜罐的局限性恰好相反,低交互蜜罐服务对节点资源的占用更少、业务安全性更高。但因为无法获得更多元的攻击信息,对于溯源工作的帮助不如高交互蜜罐高。
高交互蜜罐和低交互蜜罐并无好坏差异,根据自己的业务选择更适合自己的方案即可。
> 目前蜜罐的服务支持4大类,13种不同的蜜罐服务(蜜罐服务还在持续增加),截止本文档发布,OneFish的蜜罐都是低交互蜜罐。
1. 常见的Linux服务
包括SSH蜜罐、FTP蜜罐、TFTP蜜罐、TELNET蜜罐、VNC蜜罐、HTTP蜜罐
2. 常见Web应用仿真
包括WordPress仿真登陆蜜罐、通用OA系统仿真登录蜜罐
3. 常见的数据库服务
MYSQL蜜罐、Redis蜜罐、Memcache蜜罐、Elasticsearch蜜罐
4. 用户自定义蜜罐
# 服务端配置
## 默认密码
> 初次登陆账号密码为
```wiki
admin / HFish2021
```
<img src="https://hfish.cn-bj.ufileos.com/images/image-20210318215218016.png" alt="image-20210318215218016" style="zoom:50%;" />
> 登陆后请及时修改您的密码
<img src="https://hfish.cn-bj.ufileos.com/images/image-20210318215106718.png" alt="image-20210318215106718" style="zoom:50%;" />
> 重置密码
需要重置密码,请切换到 server/tools 文件夹:
cd server/tools
然后执行:
./tools resetpwd
如果看到 reset admin password success,那就重置成功了
## 情报对接
> 对接精准的云端的威胁情报后,可以对攻击行为进行更准的研判,帮助我们更科学的进行处置。
对接了威胁情报后,当HFish捕获到了来自外网的攻击行为后,我们可以在攻击列表中了解攻击者的IP情报。HFish会把您在云端查询到的情报在本地缓存7天,保持您攻击情报时效性的同时,节省您的查询次数。
<img src="https://hfish.cn-bj.ufileos.com/images/image-20210318220204897.png" alt="image-20210318220204897" style="zoom:50%;" />
- 我们支持对接两种来自微步在线的威胁情报
> 对接微步在线云API(IP信誉接口)
关于该接口完整的说明,可以参考[微步在线云API文档](https://x.threatbook.cn/nodev4/vb4/API)
本接口在注册后可以获得每日50条云端情报的查询额度,给微步发送扩容邮件后,可以提升到每日200条的额度。详情访问[微步在线X社区](https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3101)。
如果有企业化需求,可以邮件 honeypot@threatbook.cn
> 对接TIP的本地情报,您可以跟据页面的描述进行注册和使用。
使用该接口需要购买微步在线的TIP本地情报系统
<img src="https://hfish.cn-bj.ufileos.com/images/image-20210318221558637.png" alt="image-20210318221558637" style="zoom:50%;" />
## 通知配置
> 通知功能是蜜罐的核心功能之一
对于蜜罐捕获到的信息,跟据您不同的安全运营流程,您可能需要把该信息第一时间通知其它的安全设备,也可能需要把该信息通知给相关的安全运营人员。HFish用三种方式满足您的需求。
- Syslog通知
- 邮件通知
- Webhook通知
<img src="https://hfish.cn-bj.ufileos.com/images/image-20210318215610629.png" alt="image-20210318215610629" style="zoom:50%;" />
> 用 Syslog 联动其它安全设备
您可以自定义接受通知设备的地址、协议和端口,用来接受OneFish捕获的攻击信息和报警。HFish最多支持5路s
没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
收起资源包目录
HFish跨平台蜜罐平台 v2.3.0.zip (7个子文件)
说明.htm 4KB
HFish
blacklist
ip信誉版名单0408.csv 1.38MB
游师傅脱水甩干版本-0409.xlsx 43KB
readme.md 757B
草一霸红名单(原版)4-8-1907.xlsx 193KB
xctf
ZmxhZ3vov5vnvqTlj6Pku6TigJznvqTkuLvlpb3luIXvvIHigJ19.jpg 102KB
README.md 17KB
共 7 条
- 1
资源评论
芝麻粒儿
- 粉丝: 5w+
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功