网络攻防之：诱敌深入-蜜罐技术介绍

morganmin

于 2025-03-31 09:51:20 发布

阅读量751

点赞数 12

分类专栏：网络与安全文章标签：网络

本文链接：https://blog.csdn.net/snowpage/article/details/146800519

版权

网络与安全专栏收录该内容

1 篇文章

订阅专栏

一、蜜罐介绍

1.1 背景介绍

现实的网络世界，网络安全一直是一个重要的话题，并且经常上演着攻防大战。从防守一方来看，如何获取攻击方的信息，攻击技术手段至关重要，因为获取这些信息可以有针对性的进行防御和反攻击。其中蜜罐技术就是获取攻击方信息的一种手段。

1.2 蜜罐技术介绍

所谓的蜜罐是一种主动防御技术，通过模拟真实的系统、服务或网络环境，诱使攻击者对其进行入侵或探测，从而捕获攻击行为、分析攻击手段并收集威胁情报。蜜罐的核心目的是“诱敌深入”——通过伪装成高价值目标吸引攻击者，使其在蜜罐中消耗时间，而真实系统不受影响

蜜罐技术特点与价值：

欺骗性：蜜罐对外暴露虚假漏洞、弱密码或敏感数据，诱导攻击者上钩。
数据纯净：蜜罐无合法业务流量，所有交互行为均视为可疑，便于分析攻击特征。
主动防御：通过攻击者行为学习新型威胁，提升安全策略的针对性。

蜜罐的分类：

低交互蜜罐：模拟有限服务（如端口、协议），风险低但信息量较少（如Honeyd）。
高交互蜜罐：部署真实系统或网络，可深度获取攻击手法，但管理复杂（如Honeynet）。
伪装型蜜罐：模拟工业设备、数据库等特定目标，用于定向诱捕（如工控蜜罐）。

1.3 常见的蜜罐产品

蜜罐技术在实际应用中分为开源和商业产品，涵盖不同交互级别（低交互、高交互）和用途（研究型、生产型）。以下是常见的蜜罐工具和平台：

(1) 开源蜜罐

1. 低交互蜜罐（轻量级，模拟基础服务）

Honeyd：经典的网络级蜜罐，可模拟多种操作系统和服务的响应。
Cowrie：模拟SSH和Telnet服务，记录攻击者行为（如暴力破解、恶意命令）。
Dionaea：模拟脆弱服务（如SMB、FTP、HTTP），捕获恶意软件样本。
Glastopf：模拟Web应用漏洞（如文件包含、SQL注入），记录攻击流量。

2. 高交互蜜罐（真实系统，深度分析攻击）

Honeynet Project：由多个高交互蜜罐组成的网络，如Roo蜜罐（基于虚拟机）。
MHN (Modern Honey Network) ：分布式蜜罐管理系统，支持多种蜜罐（如Snort、Conpot）。
T-Pot：集成多个蜜罐（Cowrie、Dionaea等）的All-in-One平台，提供可视化分析。

3. 专用蜜罐（针对特定场景）

Conpot：模拟工控系统（ICS/SCADA），诱捕针对工业设备的攻击。
Kippo（Cowrie前身）：早期SSH蜜罐，记录攻击者会话。
OpenCanary：轻量级蜜罐，支持多种协议（HTTP、MySQL、SMB等）。

(2) 商业蜜罐（企业级解决方案）

TrapX DeceptionGrid：自动化欺骗防御平台，支持动态蜜罐部署。
Attivo Networks：提供内网欺骗技术，覆盖端点、AD、云环境。
Cymmetria Mazerunner：基于攻击者行为追踪的欺骗防御系统。
Fidelis Deception：结合蜜罐与EDR，实时检测高级威胁。

(3) 云蜜罐与欺骗防御

AWS/阿里云蜜罐：云厂商提供的诱饵实例，用于检测云环境攻击。
Thinkst Canary：分布式蜜罐，模拟办公设备（打印机、文件服务器）。
Illusive Networks：专注于无文件攻击和横向移动诱捕。

二、开源HFish蜜罐

1.1 HFish蜜罐技术介绍

HFish 是一款国产开源的多功能蜜罐平台，专注于主动欺骗防御，支持多种协议仿真、高交互诱捕和威胁情报收集。它适用于企业、政府、教育等各类网络环境，能够有效检测内外部攻击行为，并提供详细的攻击日志分析。

1.2. HFish 基本原理

HFish采用B/S架构，系统由管理端和节点端组成，管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务。

HFish各模块关系图

1.3. HFish 核心特点

（1）多协议支持（低/高交互）

HFish 支持多种常见服务仿真，包括：

基础服务：SSH、Telnet、FTP、RDP、MySQL、Redis、SMTP 等
Web 应用：HTTP/HTTPS（可模拟漏洞如 SQL 注入、文件上传）
工业协议：Modbus、S7Comm（工控蜜罐场景）
自定义蜜罐：支持用户扩展新的协议仿真

（2）分布式部署

支持多节点部署，可在不同网络位置（DMZ、内网、云环境）部署诱饵。
采用 C/S（客户端-服务端）架构，便于集中管理多个蜜罐节点。

（3）攻击行为捕获与分析

记录攻击者的 IP、攻击方式、Payload、时间戳 等关键信息。
支持 自动化威胁情报（IoC）提取，如恶意IP、攻击工具特征等。
提供 Web 管理界面，可视化展示攻击态势（如攻击地图、TOP攻击源）。

（4）主动欺骗与反制

虚假数据诱导：模拟数据库、文件系统，诱使攻击者泄露更多信息。
反制能力（可选）：部分版本支持对攻击者进行反向探测（如获取攻击者设备信息）。

（5）低资源占用 & 易部署

采用 Golang 开发，跨平台（Windows/Linux），资源占用低。
支持 Docker 部署，快速搭建测试环境。

1.4. HFish 适用场景

企业内网安全：检测横向渗透、内部威胁（如员工恶意扫描）。
互联网暴露面管理：在公网部署诱饵，发现扫描和攻击行为。
攻防演练（红蓝对抗） ：模拟真实业务系统，提高防守方威胁感知能力。
工控安全（ICS） ：通过 Modbus/S7 蜜罐捕获针对工业设备的攻击。

1.5. HFish 与其他蜜罐对比

特性	HFish	Cowrie（SSH蜜罐）	T-Pot（多蜜罐平台）
国产化	✅ 是	❌ 否	❌ 否
多协议	✅ 支持广泛	❌ 仅SSH/Telnet	✅ 集成多个蜜罐
分布式	✅ 支持	❌ 单节点	✅ 支持
管理界面	✅ Web可视化	❌ 命令行日志	✅ ELK 看板
工控支持	✅ Modbus/S7	❌ 不支持	❌ 有限支持

1.6. 部署方式

（1）快速体验（Docker）

bash脚本：

docker run -d -p 443:443 -p 80:80 --name hfish imdevops/hfish

访问： https://[IP] 进入管理界面（默认账号 admin/hfish）。

（2）生产环境部署

服务端：运行 ./server 管理蜜罐节点。
客户端：在目标网络部署 ./client 并连接服务端。