一、什么是蜜罐技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
二、搭建
搭建开源蜜罐HFish,它是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
1.安装docker环境
apt install docker.io
systemctl stop firewalld //关闭防火墙
systemctl disable firewalld //关闭防火墙自启
systemctl start docker //开启docker服务
2.安装HFish
docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest
docker run -d \
--name watchtower \
--restart unless-stopped \
-v /var/run/docker.sock:/var/run/docker.sock \
--label=com.centurylinklabs.watchtower.enable=false \
--privileged=true \
containrrr/watchtower \
--cleanup \
hfish \
--interval 3600
配置后续自动升级。
3.部署HFish
登录地址:https://[server]:4433/web/
初始用户名:admin
初始密码:HFish2021
如果部署在流量一般较小的内网的话选择左边,直接上线,进入会提示修改密码
如果我们想部署在外网的话,SQLite不适应大数据环境和频繁读写的情况,而外网环境一般会遭受较大的流量或频繁的攻击,因此选择MySQL进行部署。
官方文档: