HFish 蜜罐安装及使用

前言

有机会接触了一下蜜罐的安装和使用情况

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。

安装

配置说明

HFish包括管理端和节点端（管理端本身也可以作为一个节点端），管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务。

管理端和节点端都不同的配置要求，详见HFish使用手册第二章： https://hfish.net/#/2-0-deploy

安装过程

我是用的阿里云的CentOS 8.2服务器

首先防火墙打开4433、4434这两个端口

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload
1
2
3

如果电脑可以连接到互联网的话，使用root权限，运行下面命令

bash <(curl -sS -L https://hfish.net/webinstall.sh)
1

如果不能连接到互联网，先下载安装包：https://hfish.cn-bj.ufileos.com/hfish-3.0.1-linux-amd64.tgz （ Linux x86 架构 64 位系统）

然后解压，运行安装文件进行安装

sudo ./install.sh
1

安装完成之后即可登录进去

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021
1
2
3

使用模块

因为我的这个蜜罐搭在了公网上，我刚登陆进去就有了两条攻击信息…

下面简单介绍一下各个模块的情况

首页、大屏

主要会有一些概括性的消息，是对数据进行一个可视化处理

攻击列表

这里是展示、聚合、搜索、分析和导出HFish蜜罐捕获攻击数据的页面

本页面展示的攻击数据有：

1. 被攻击蜜罐名称
2. 被攻击数量
3. 被攻击节点名称
4. 攻击来源IP和地理位置
5. 威胁情报
6. 最后一次攻击时间
7. 攻击时间
8. 攻击数据长度
9. 攻击详情

扫描感知

这里是展示HFish蜜罐节点被TCP、UDP和ICMP三种协议的全端口扫描探测行为

失陷感知

这里是利用蜜饵来实现主机失陷感知威胁的，我还没搞明白，暂时先跳过

攻击来源

这里是有展示尝试连接和攻击节点端的每一个IP，及该IP的过往攻击记录

账号资产

这里是存储着攻击者在所有HFish蜜罐登录界面中输入的账号、密码

节点管理

HFish采用B/S架构，系统由控制端和节点端组成，控制端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受控制端的控制并负责构建蜜罐服务。

默认设置管理端是内置节点，可以添加外部节点，输入节点信息之后，在节点处部署对应的安装包即可部署外界节点

服务管理

这里就是会有一些蜜罐的模板，可以把这些模板部署在节点上