管理端：生成和管理节点端，并接收、分析和展示节点端回传的数据

管理端必须部署在安全区。

注：4433、22端口只能被安全区设备访问，22端口必须能被节点端访问
- 管理端访问端口：4433
- 节点数据回传端口：TCP/4434
- 服务默认访问端口：TCP/22
节点端：接受管理端的控制并负责构建蜜罐服务

HFish的管理端对应蜜罐概念中的管理面，无安全防护功能；节点端对应交互面，负责模拟服务诱导攻击。

1.2 企业级应用架构

1、管理端

HFish可以配置可供外网访问的Server，但若同时有内外网访问需求，建议同时部署两套相互独立的系统。

2、节点端

间插在生产环境中，通过回传端口将数据传递给管理端。

2 Windows下的环境部署

2.1 下载

Windows下载部署 (hfish.io)

下载安装包HFish-Windows-amd64 （Windows x86 架构 64 位系统），解压缩

防火墙上进出站双向打开TCP/4433、4434端口放行（如需使用其他服务，也需要打开端口）

※若未开启防火墙可跳过这一步

进入HFish-Windows-amd64文件夹内，运行文件目录下的install.bat （脚本会在当前目录进行安装HFish

2.2 登录管理端

登录web界面：

登陆链接：https://[ip]:4433/web/

端口和登录URL，可以在config.ini中自行配置。

2.3 数据库配置

官方建议使用MySql数据库。文章地址https://www.yii666.com/blog/357346.html

测试、内部简单使用：SQLite
外网环境和大规模部署：MySQL、MariaDB

在系统配置–数据库配置可以更改数据库。

3 使用说明

3.1 节点管理

3.1.1 默认节点

HFish有唯一一个默认节点——“内置节点”。

内置节点在管理端成功安装后，自动在管理端部署设备上建立，作用为节点感知攻击。

该节点将默认开启部分服务，包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。

3.1.2 增加节点

在节点管理页面的节点列表处可新增，提供以下三种安装包：

Windows-386（支持32位和64位）
Linux-386（支持32位和64位）
Linux-ARM

部署成功后可，运行系统提供的脚本可实现开机自启。文章来源地址:https://www.yii666.com/blog/357346.html

3.1.3 删除节点

在节点管理页面可进行节点删除。

节点删除的实质是cut掉相对应的进程，节点下的程序和数据不会被删除。

3.2 服务管理

HFish目前提供了共42种服务，包含40种低交互服务和2种高交互服务，在“环境服务”下可以看到全部服务的介绍。

3.2.1 低交互服务

低交互服务包含项目有：基础服务、端口监听服务、WEB服务、数据库服务、自定义服务。

基础服务：对常见远程访问协议（如SSH、Telnet）等进行仿真。
端口监听服务：默认对TCP/135,TCP/139,TCP/445,TCP/3389进行监听
WEB服务
- 代理：HTTP代理、Nginx
- 办公系统：通用OA系统、政务OA系统、通达OA系统
- 网络产品：Aruba无线AP、锐捷交换机、TP-LINK路由器仿真登陆、H3C路由器、齐治堡垒机
- 互联网产品：WordPress(个人博客)、GitLab(代码托管)、Jira(项目管理系统)、Confluence(项目管理系统)、Coremail(邮件系统)、Exchange(邮件系统)、Jenkins(持续集成系统)、Joomla(内容管理平台)、Webmin(Unix系统管理工具)
- 安防产品：海康摄像头
- 服务器：微软IIS服务、Tomcat、Weblogic(分布式应用服务器)
- 网络监控系统：Nagios(监控系统)、Websphere、Zabbix(监控系统)、JspSpy(网络后门)
- 虚拟化平台：ESXi(基于Linux的虚拟化管理平台)
数据库服务：MYSQL、REDIS、MEMCACH、Elasticsearch服务端进行仿真
自定义服务：CUSTOM蜜罐，提供了与其它蜜罐的接口，使管理端可以接收其它蜜罐收集到的讯息

3.2.2 高交互服务

2种高交互服务为：高交互SSH蜜罐、高交互Telnet蜜罐。

SSH：SSH是Secure Shell的缩写，是专为远程登录会话和其他网络服务提供安全性的协议，目前几乎所有的基于Linux、BSD、Unix的操作系统和IoT都支持使用SSH远程登录，因此SSH也成为最常见的网络服务。

Telnet：是Internet远程登录服务的标准协议和主要方式，由于Telnet协议采用明文传输，安全性能较差，常被攻击者探测。

高交互和低交互版本服务的对比：

服务名称	默认监听端口	描述
高交互SSH蜜罐	TCP/22	提供了比较完善的SSH交互服务端，可记录攻击者的暴力破解攻击和shell交互，可被上传、删除和下载文件，默认使用TCP/22端口
高交互Telnet蜜罐	TCP/23	提供了比较完善的Telnet交互服务端，可记录攻击者的暴力破解攻击和shell交互，可被上传、删除、和下载文件。Telnet一般只用于内部系统、路由交换等IoT设备，默认使用TCP/23
SSH蜜罐	TCP/22	提供虚假的SSH服务端，常见于办公、生产、互联网场景，默认使用TCP/22端口
Telnet蜜罐	TCP/23	提供虚假的Telnet服务端，一般只用于内部系统、路由交换等IoT设备，该服务常见于办公场景，默认使用TCP/23端口

高交互版本进行了更深入的仿真，提供了上传、删除和下载的功能。网址:yii666.com

3.3 Python API

目前HFish支持调取的数据有：

攻击来源
攻击详情
指定IP暴力破解使用过的账号密码


import requests
import json
 
# 获取攻击来源
src_url = "https://Server_IP/api/v1/attack/ip?api_key=YOUR_API_KEY"
# 获取攻击详情
detail_url = "https://Server_IP/api/v1/attack/detail?api_key=YOUR_API_KEY"
# 获取IP使用过的账号信息
acc_url = "https://Server_IP/api/v1/attack/account?api_key=YOUR_API_KEY"
 
payload = json.dumps({
 	"start_time": 0,
	"end_time": 0,
    
    # 获取攻击来源
	"intranet": "0",
	"threat_label": [
		"Scanner" 
	]
    
	# 获取攻击详情
	"client_id": [],
	"service_name": [],
	"info_confirm": "1"
	
    # 获取指定ip暴力破解使用过的账号密码
    "attack_ip": []
})
headers = {
  'Content-Type': 'application/json'
}
 
response = requests.request("POST", src_url, headers=headers, data=payload)
 
print(response.text)

安装

配置说明

HFish包括管理端和节点端（管理端本身也可以作为一个节点端），管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务。

管理端和节点端都不同的配置要求，详见HFish使用手册第二章： https://hfish.net/#/2-0-deploy

安装过程

首先防火墙打开4433、4434这两个端口网址:yii666.com<


firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload

如果电脑可以连接到互联网的话，使用root权限，运行下面命令

bash <(curl -sS -L https://hfish.net/webinstall.sh)

如果不能连接到互联网，先下载安装包：https://hfish.cn-bj.ufileos.com/hfish-3.0.1-linux-amd64.tgz （ Linux x86 架构 64 位系统）

然后解压，运行安装文件进行安装

sudo ./install.sh

安装完成之后即可登录进去


登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/你好赵伟/article/detail/603170