一、介绍
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
二、搭建
这里我们搭建开源蜜罐HFish,它是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
1.安装docker环境
yum install -y docker-ce //安装docker
systemctl stop firewalld //关闭防火墙
systemctl disable firewalld //关闭防火墙自启
systemctl start docker //开启docker服务
2.安装HFish
docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest
复制粘贴执行即可
docker run -d \
--name watchtower \
--restart unless-stopped \
-v /var/run/docker.sock:/var/run/docker.sock \
--label=com.centurylinklabs.watchtower.enable=false \
--privileged=true \
containrrr/watchtower \
--cleanup \
hfish \
--interval 3600
配置后续自动升级
3.部署HFish
登陆地址:https://[server]:4433/web/
初始用户名:admin
初始密码:HFish2021
如果部署在流量一般较小的内网的话选择左边,直接上线,进入会提示修改密码
如果我们想部署在外网的话,SQLite不适应大数据环境和频繁读写的情况,而外网环境一般会遭受较大的流量或频繁的攻击,因此选择MySQL进行部署。
也可以在平台管理的系统配置中进行更换,注意不支持MySQL数据库降级回SQLite,这里MySQL需要自行搭建并创建供HFish存储的库,部署在与HFish相同服务器上的话需要修改端口
使用小皮的话需要将root的地址限制解除,"%"为任何人都可远程连接
update user set host = '%' where user = 'root';
select host, user from user;
可以看到已经监测到了攻击
还有数据大屏可供查看
三、使用
在环境管理的节点管理中可以看到默认部署的一些蜜罐服务
这里我们对蜜罐进行攻击
可以看到攻击次数、攻击IP等信息都被记录了
可以在攻击列表看到攻击的详细信息
请求包具体信息
可以供我们来了解攻击者的手段,制定相应的应对措施
也可以在节点管理中添加更多的蜜罐服务,这里添加一个深信服网页防篡改系统的蜜罐
访问:http://192.168.28.128:9298/
对其进行抓包爆破
在账号资源处可以查看到攻击者爆破使用的账号密码,可以获取其字典
更多玩法可以访问官方文档进行查阅学习:
微信公众号
扫一扫关注CatalyzeSec公众号
加入我们的星球,我们能提供:
1对1就业指导、面试模拟、Golang工具开发学习、Fofo高级会员、各公众号历史文章合集、各种网络安全电子书、面试题合集、最新poc、exp、最常用工具推荐、开放交流环境,解决成员问题。