Hfish蜜罐的搭建与测试

Hfish蜜罐的搭建与测试

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

蜜罐 技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务
或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获
和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

这里进行hfish蜜罐的搭建与测试。

搭建

docker上搜索这个容器。

docker search hfish

进行下载

docker pull imdevops/hfish

查看已有容器

docker images

主节点部署

docker run -d --name hfish -p 21:21 -p 22:22 -p 23:23 -p 69:69 -p
3306:3306 -p 5900:5900 -p 6379:6379 -p 8080:8080 -p 8081:8081 -p
8989:8989 -p 9000:9000 -p 9001:9001 -p 9200:9200 -p 11211:11211
–restart=always imdevops/hfish:latest

21 为 FTP 端口
22 为 SSH 端口
23 为 Telnet 端口
3306 为 Mysql 端口
6379 为 Redis 端口
8080 为 暗网 端口
8989 为 插件 端口
9000 为 Web监听 端口
9001 为 系统管理后台 端口
11211 为 Memcache 端口
69 为 TFTP 端口
5900 为 VNC 端口
8081 为 HTTP代理池 端口
9200 为Elasticsearch端口

部署过程出现错误

docker ps 查看当前容器运行状态
名字被占用
docker rm id 删除

Error response from daemon: driver failed programming external connectivity on endpoint hfish (f971c0aa59bf806b22a1777bea4c23871f432dd9cb50c54c7d2482d3341980ff): Error starting userland proxy: listen tcp4 0.0.0.0:3306: bind: address already in use.

上半部分：
Error response from daemon: driver failed programming external connectivity on endpoint hfish
重启docker容器即可解决该问题： systemctl restart docker

下半部分：
Error starting userland proxy: listen tcp4 0.0.0.0:3306: bind: address already in use.

显示3306端口被占用。

ps -ef | grep 3306

pid进程号会改变

停止mysql服务：

service mysql stop

重新

在攻击机上看看开放的端口

——
——

测试

访问9001端口，成功进入管理界面。
admin/admin

访问web界面蜜罐：9000端口

回到9001端口管理后台可看到上钩信息。

攻击机测试ssh

攻击机测试ftp

攻击机测试mysql

然后在hfish后台都可以看到蜜罐被触发的信息