网安工具系列：HFish蜜罐的介绍和简单测试（win7环境下）

HFish蜜罐的介绍和简单测试

• 一. HFish蜜罐的介绍和简单测试（一）
• • 0、什么是蜜罐
  • • 0.1、蜜罐的定义
    • 0.2、蜜罐的优势
    • • 误报少，告警准确
      • 检测深入，信息丰富
      • 主动防御，预见未来，生产情报
      • 环境依赖少，拓展视野
    • 0.3、蜜罐与情报
  • 1、HFish介绍
  • • 1.1、设计理念
    • 1.2、HFish架构
    • 1.3、HFish特点
    • 1.4、常见蜜罐场景
  • 2、快速部署
  • • 2.1、环境要求
    • • HFish支持的部署主机
      • • HFish内网所需配置
        • HFish外网所需配置（必须更换mysql数据库）
      • 部署权限要求
      • • 管理端对root权限的需求
        • 节点端对root权限的需求
    • 2.2、联网环境，一键安装
    • • 请防火墙开启4433、4434，确认返回success（如之后蜜罐服务需要占用其他端口，可使用相同命令打开。）
      • 使用root用户，运行下面的脚本。
      • 完成安装
    • 2.3、安装效果
  • 3、错误排查
  • • 3.1、管理端问题
    • • 解决办法：
      • • 1、确认浏览器访问地址是 https://[server]:4433/web/，注意不可缺少“/web/”这个路径
        • 2、确认管理端进程的运行情况和TCP/4433端口开放情况，如果不正常需要重启管理端进程
        • 3、检查管理端主机是否开启了防火墙，导致目前无法访问，必要情况，考虑关闭防火墙
        • 4、Linux环境使用date命令确认系统时间的准确
        • 5、如果以上都没有问题，请将server和client日志提供给我们
    • 3.1、节点问题
    • • 解决办法：
      • • 1、检查节点到管理端的网络连通情况，以下是几种常见情况
        • 2、如果确认网络访问正常，节点在管理端上始终离线，需要检查节点上的进程运行情况。如果进程运行异常，需要杀死全部关联进程后，重启进程，并记录错误日志。
    • 3.3、蜜罐服务问题
    • • 可通过触碰状态旁边的问号，确认离线原因。
      • bind:address already in use解决办法：
      • • 该报错情况往往是因为端口冲突
        • • Windows操作系统上
          • Linux操作系统端口冲突解决方案：
          • 重新启用该端口的蜜罐
• 二. HFish蜜罐的介绍和简单测试（二）
• • 1、HFish使用说明
  • • 1.1、部署模型
    • • HFish基本结构
      • HFish各模块关系图
      • 融合在企业网络中
    • 1.2、添加/删除节点
    • • 默认节点
      • 新增节点
      • • 扫描感知：
      • 删除节点
    • 1.3、添加/删除蜜罐
    • • 直接修改蜜罐服务
      • 创建模板，应用到多节点
    • 1.4、查看攻击
  • 2、卸载
  • • 2.1、卸载Linux管理端
    • • 1、删除计划任务进程
      • 2、结束管理端进程
      • 3、删除文件夹
      • 4、清理所有配置（如果后续还要安装，建议不要删除，否则下次使用需要完全重新配置）
      • 5、删除MySQL数据库配置（SQLite可忽略）
      • 6、可还原SSH和Firewall配置
    • 2.2、卸载Windows管理端
    • • 1、删除计划任务进程HFish管理端
      • 2、结束hfish进程
      • 3、删除管理端文件夹
    • 2.3、卸载Linux节点
    • • 1、删除计划任务进程
      • 2、结束client进程
      • 3、删除client文件夹
    • 2.4、删除Windows节点
    • • 1、关闭计划任务 HFishClient
      • 2、结束client进程
      • 3、删除client文件夹
• 三. HFish蜜罐的介绍和简单测试（三）
• • 0、HFish平台管理
  • • 0.1、报告管理
    • 0.2、系统配置
    • • 情报配置
      • 通知配置
      • 登录配置
      • NTP时间同步
      • 溯源配置
      • • 溯源技术层面：
        • 重点贴出来Web型蜜罐溯源官方说明：
  • 1、蜜铒配置
  • • 1.1、什么是诱饵
    • 1.2、蜜铒使用场景
    • 1.3、蜜标使用场景
    • • HFish诱饵的模式
      • • 诱饵定制
      • 分发接口
      • • 告警信息
        • 告警信息

---

一. HFish蜜罐的介绍和简单测试（一）

0、什么是蜜罐

0.1、蜜罐的定义

蜜罐 技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务 或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获 和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

0.2、蜜罐的优势

误报少，告警准确

蜜罐作为正常业务的 “影子” 混淆在网络中，正常情况下不应被触碰，每次触碰都可以视为威胁行为。例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎不存在正常请求，即使有也是探测行为。

检测深入，信息丰富

不同于其它检测型安全产品，蜜罐可以模拟业务服务甚至对攻击的响应&