Hfish蜜罐的搭建与测试

Posted Goodric

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Hfish蜜罐的搭建与测试相关的知识,希望对你有一定的参考价值。

Hfish蜜罐的搭建与测试

HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

蜜罐 技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务
或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获
和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

这里进行hfish蜜罐的搭建与测试。

搭建

docker上搜索这个容器。

docker search hfish

进行下载

docker pull imdevops/hfish

查看已有容器

docker images

主节点部署

docker run -d --name hfish -p 21:21 -p 22:22 -p 23:23 -p 69:69 -p
3306:3306 -p 5900:5900 -p 6379:6379 -p 8080:8080 -p 8081:8081 -p
8989:8989 -p 9000:9000 -p 9001:9001 -p 9200:9200 -p 11211:11211
–restart=always imdevops/hfish:latest

21 为 FTP 端口
22 为 SSH 端口
23 为 Telnet 端口
3306 为 mysql 端口
6379 为 Redis 端口
8080 为 暗网 端口
8989 为 插件 端口
9000 为 Web监听 端口
9001 为 系统管理后台 端口
11211 为 Memcache 端口
69 为 TFTP 端口
5900 为 VNC 端口
8081 为 HTTP代理池 端口
9200 为Elasticsearch端口

部署过程出现错误

docker ps 查看当前容器运行状态
名字被占用
docker rm id 删除

Error response from daemon: driver failed programming external connectivity on endpoint hfish (f971c0aa59bf806b22a1777bea4c23871f432dd9cb50c54c7d2482d3341980ff): Error starting userland proxy: listen tcp4 0.0.0.0:3306: bind: address already in use.

上半部分:
Error response from daemon: driver failed programming external connectivity on endpoint hfish
重启docker容器即可解决该问题: systemctl restart docker

下半部分:
Error starting userland proxy: listen tcp4 0.0.0.0:3306: bind: address already in use.

显示3306端口被占用。

ps -ef | grep 3306

pid进程号会改变

停止mysql服务:

service mysql stop

重新

在攻击机上看看开放的端口

——
——

测试

访问9001端口,成功进入管理界面。
admin/admin

访问web界面蜜罐:9000端口

回到9001端口管理后台可看到上钩信息。

攻击机测试ssh

攻击机测试ftp

攻击机测试mysql

然后在hfish后台都可以看到蜜罐被触发的信息

以上是关于Hfish蜜罐的搭建与测试的主要内容,如果未能解决你的问题,请参考以下文章

开源蜜罐——HFish搭建

开源蜜罐——HFish搭建

开源蜜罐——HFish搭建

HFish 蜜罐安装及使用

蜜罐技术——通过布置一些作为诱饵的主机网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析

从编程角度理解什么是蜜罐