一、蜜罐介绍
1.1、简介
HFish 是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
1.2、特点
1、安全可靠:主打低中交互蜜罐,简单有效;
2、功能丰富:支持基本网络 服务、OA 系统、CRM 系统、NAS 存储系统、Web 服务器、运维平台、无线 AP、交换机 / 路由器、邮件系统、IoT 设备等 40 多种蜜罐服务,支持用户制作自定义 Web 蜜罐,支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置;
3、开放透明:支持对接微步在线 X 社区 API、五路 syslog 输出、支持邮件、钉钉、企业威胁、飞书、自定义 WebHook 告警输出;
4、快捷管理:支持单个安装包批量部署,支持批量修改端口和服务;
5、跨平台:支持 Linux x32/x64/ARM、Windows x32/x64 平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件。
1.3、架构
HFish 由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。
1.3.1 工作原理
1.3.2 融合在企业网络中
二、蜜罐搭建
2.1 docker 搭建
运行 HFish
docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest配置为后续自动升级
docker run -d \
--name watchtower \
--restart unless-stopped \
-v /var/run/docker.sock:/var/run/docker.sock \
--label=com.centurylinklabs.watchtower.enable=false \
--privileged=true \
containrrr/watchtower \
--cleanup \
hfish \
--interval 36002.2 登陆 HFish
登陆地址:https://[server]:4433/web/
初始用户名:admin
初始密码:HFish2021
三、蜜罐实验
查看蜜罐服务信息
访问海康摄像头蜜罐,登陆。
登陆错误
正文完
HFish seems like close source now.