蜜罐系统HFish的部署与功能实测

2023-11-02 06:28

本文主要是介绍蜜罐系统HFish的部署与功能实测,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1. 引入

根据参考1对蜜罐的定义:

  1. 蜜罐(Honeypot)是一个计算机科学领域的术语,指用于检测或防御未经授权的行为或黑客攻击的陷阱。其名称来源于其工作原理类似于用来诱捕昆虫的蜜罐。
  2. 蜜罐通常伪装成看似有利用价值的网路、资料、电脑系统,并故意设置了bug,用来吸引骇客攻击。由于蜜罐事实上并未对网路提供任何有价值的服务,所以任何对蜜罐的尝试都是可疑的。蜜罐中还可能装有监控软件,用以监视骇客入侵后的举动。

根据参考3,我们可以知道蜜罐的价值:

  1. 蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
  2. 蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。另外蜜罐也可以消耗攻击者的时间,基于JSONP等方式来获取攻击者的画像。
  3. 但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源。

有没有什么快速部署一个蜜罐进行体验的方法呢?

2. HFish

从参考3可以看到关于HFish的更多描述:

  1. HFish是一款针对企业安全场景的社区型免费蜜罐,旨在提高用户在失陷感知和威胁情报领域的综合能力。它从内网失陷检测、外网威胁感知和威胁情报生产三个场景出发,为用户提供独立且实用的功能,通过中低交互蜜罐来增强用户的安全防护能力。
  2. HFish具有多种独特的特性,包括超过40种蜜罐环境、免费的云蜜网、高度自定义的蜜饵能力、一键部署、跨平台多架构支持、国产操作系统和CPU的适配、极低的性能要求、以及多种告警方式如邮件、syslog、webhook、企业微信、钉钉和飞书等。这些特性有助于降低用户的运维成本,提高运营效率。
  3. HFish支持分布式多节点部署。HFish采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。在HFish中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。

在linux下,可以参考4来进行快速的安装部署。

3. ubuntu下部署单节点HFish的步骤

  1. 确认ubuntu防火墙状态
(base) root@xdfweds:~# ufw status
Status: inactive

笔者这里防火墙是关闭的,否则需要参考4来让防火墙开启4433、4434端口。

  1. 在root模式运行如下命令来安装HFish
bash <(curl -sS -L https://hfish.net/webinstall.sh)
  1. 远程浏览器打开 登陆链接:https://[ip]:4433/web/
  • 默认用户名密码见参考4
  1. 选择SQlite
    在这里插入图片描述

4. 实测效果

  1. 登录后,稍等3分钟,就能在首页看到,笔者这台阿里云服务器,在这几分钟之内,就被扫描了151次,被攻击了5次
    在这里插入图片描述

  2. 攻击列表
    能看到所有攻击的来源IP,也能进行搜索过滤
    在这里插入图片描述

  3. 扫描感知
    该页面用于展示HFish蜜罐节点被TCP、UDP和ICMP三种协议的全端口扫描探测行为。
    即使节点相关端口没有开放,HFish仍能记录下扫描行为,此外,HFish还会记录节点主机本身外联行为。目前扫描感知列表内能够展示的信息如下: 扫描IP,威胁情报,被扫描节点,被扫描IP,扫描类型,被扫描端口,节点位置, 扫描开始时间,扫描持续时间。
    在这里插入图片描述

可以看到,就部署HFish后的5分钟之内,主机就遭受来自很多个不同国家的扫描。

  1. 失陷感知页面
    这需要配置诱饵才可能有效果,关于诱饵的配置,详见参考5.

(1)什么是诱饵
诱饵泛指任意伪造的高价值文件(例如运维手册、邮件、配置文件等),用于引诱和转移攻击者视线,最终达到牵引攻击者离开真实的高价值资产并进入陷阱的目的。

(2)蜜饵使用场景
HFish的蜜饵在 牵引 攻击者的功能上增加了 精确定位失陷 能力,即每个蜜饵都是 唯一的,攻击者入侵用户主机后,如果盗取蜜饵文件中的数据并从任意主机发起攻击,防守者仍能知道失陷源头在哪里。

(3)举个例子:
攻击者侵入企业内部某台服务器,在其目录中找到一个payment_config.ini文件,文件中包含数据库主机IP地址和账号密码,
攻击者为隐藏自己真实入侵路径,通过第三台主机访问数据库主机

从笔者部署访问的页面中可以看到
在这里插入图片描述

HFish默认给定了四个文件蜜饵,还可以人工修改文件的内容。
在这里插入图片描述

  1. 攻击来源
    当前页面存储了尝试连接和攻击节点端的每一个IP,及该IP的过往攻击记录。
    在这里插入图片描述

  2. 账号资产
    攻击者在所有HFish蜜罐登录界面中输入的账号、密码都将被记录和整理,可用于:统计当前被攻击的账号密码,用于内部自查;使用「企业信息监控」功能,填写企业域名、邮件、员工姓名等敏感信息,实时监控外部失陷账户。

  3. 样本检测
    样本检测能力由微步在线云沙箱免费提供支持。其能提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据,结合微步威胁情报云,分钟级发现未知威胁。

  4. 漏洞模拟与威胁检测
    HFish的威胁检测将使用 YARA语言,对所有蜜罐收集到的攻击原始信息进行关键词检测。其中,漏洞模拟与检测类型的规则为云端更新,开启网络访问权限后,该部分规则为自动更新。
    详细说明:漏洞模拟与威胁检测使用介绍见参考6.
    如下是部署后默认提供的漏洞检测:
    在这里插入图片描述

也可以查看各个漏洞检测的YARA细节,比如“Java Applet JMX远程代码执行(CVE-2013-0422)”是这样写的:
在这里插入图片描述

  1. 服务管理

这是默认给定的蜜罐服务,还可以新增服务,这开源的功能就已经很强大了。
在这里插入图片描述

  1. 大屏
    大屏显示很漂亮。
    在这里插入图片描述

5. 卸载

参考7给出了卸载步骤。下面是ubuntu上卸载的步骤:

root@abababa:~# ps aux | grep hfish
root      499442  0.2  0.2 711436 12012 pts/0    Sl   21:23   0:02 /opt/hfish/hfish
root      499453  2.0  7.7 1088160 312768 ?      Ssl  21:23   0:16 /opt/hfish/hfish-server -d /opt/hfish/3.3.3
root      499713  0.0  0.0   8900   724 pts/4    S+   21:37   0:00 grep --color=auto hfish
root@abababa:~# kill 499442
root@abababa:~# kill 499453
root@abababa:~#
root@abababa:~#
root@abababa:~# ps aux | grep hfish
root      499719  0.0  0.0   8900   724 pts/4    S+   21:38   0:00 grep --color=auto hfish
root@abababa:~# rm -rf /opt/hfish
root@abababa:~# rm -rf /usr/share/hfish

先kill掉hfish,然后rm两个位置即可。

6. 总结

本文从蜜罐的定义,到如何安装部署一个真实的蜜罐系统,再到蜜罐系统的细节功能进行讲解。

7. 参考

  1. https://zh.wikipedia.org/zh-hans/%E8%9C%9C%E7%BD%90_(%E9%9B%BB%E8%85%A6%E7%A7%91%E5%AD%B8)
  2. https://websec.readthedocs.io/zh/latest/defense/honeypot.html
  3. https://github.com/hacklcx/HFish
  4. https://hfish.net/#/2-2-linux
  5. https://hfish.net/#/4-4-internetdecoy
  6. https://hfish.net/#/4-3-detection
  7. https://hfish.net/#/5-7-uninstall

这篇关于蜜罐系统HFish的部署与功能实测的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/328737

相关文章

闲置电脑也能活出第二春?鲁大师AiNAS让你动动手指就能轻松部署

对于大多数人而言,在这个“数据爆炸”的时代或多或少都遇到过存储告急的情况,这使得“存储焦虑”不再是个别现象,而将会是随着软件的不断臃肿而越来越普遍的情况。从不少手机厂商都开始将存储上限提升至1TB可以见得,我们似乎正处在互联网信息飞速增长的阶段,对于存储的需求也将会不断扩大。对于苹果用户而言,这一问题愈发严峻,毕竟512GB和1TB版本的iPhone可不是人人都消费得起的,因此成熟的外置存储方案开

不懂推荐算法也能设计推荐系统

本文以商业化应用推荐为例,告诉我们不懂推荐算法的产品,也能从产品侧出发, 设计出一款不错的推荐系统。 相信很多新手产品,看到算法二字,多是懵圈的。 什么排序算法、最短路径等都是相对传统的算法(注:传统是指科班出身的产品都会接触过)。但对于推荐算法,多数产品对着网上搜到的资源,都会无从下手。特别当某些推荐算法 和 “AI”扯上关系后,更是加大了理解的难度。 但,不了解推荐算法,就无法做推荐系

基于人工智能的图像分类系统

目录 引言项目背景环境准备 硬件要求软件安装与配置系统设计 系统架构关键技术代码示例 数据预处理模型训练模型预测应用场景结论 1. 引言 图像分类是计算机视觉中的一个重要任务,目标是自动识别图像中的对象类别。通过卷积神经网络(CNN)等深度学习技术,我们可以构建高效的图像分类系统,广泛应用于自动驾驶、医疗影像诊断、监控分析等领域。本文将介绍如何构建一个基于人工智能的图像分类系统,包括环境

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

嵌入式QT开发:构建高效智能的嵌入式系统

摘要: 本文深入探讨了嵌入式 QT 相关的各个方面。从 QT 框架的基础架构和核心概念出发,详细阐述了其在嵌入式环境中的优势与特点。文中分析了嵌入式 QT 的开发环境搭建过程,包括交叉编译工具链的配置等关键步骤。进一步探讨了嵌入式 QT 的界面设计与开发,涵盖了从基本控件的使用到复杂界面布局的构建。同时也深入研究了信号与槽机制在嵌入式系统中的应用,以及嵌入式 QT 与硬件设备的交互,包括输入输出设

C++11第三弹:lambda表达式 | 新的类功能 | 模板的可变参数

🌈个人主页: 南桥几晴秋 🌈C++专栏: 南桥谈C++ 🌈C语言专栏: C语言学习系列 🌈Linux学习专栏: 南桥谈Linux 🌈数据结构学习专栏: 数据结构杂谈 🌈数据库学习专栏: 南桥谈MySQL 🌈Qt学习专栏: 南桥谈Qt 🌈菜鸡代码练习: 练习随想记录 🌈git学习: 南桥谈Git 🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈�

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、