个人比较懒,摘抄一段百度百科对于蜜罐的定义,这玩意基本上看标题一眼就能知道是干嘛的
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络
本章重点介绍一个开源国产的蜜罐系统HFish
HFish是我个人比较喜欢的蜜罐,简单无脑,自带可视化后台,极度适合菜逼使用
HFish官网:https://hfish.io/
Github:https://github.com/hacklcx/HFish
这是一款国人使用golang开发的跨平台蜜罐,支持单机部署和集群部署,默认使用sqlite,但是生产环境下建议使用mysql数据库
在Github上下载安装包,支持64/32位windows或者linux、Mac平台,根据需要下载
这里注意要下载0.6.2版本安装包,0.6.3为升级包,直接覆盖0.6.2版本目录下文件即可。
偷懒直接用了之前做测试用的32位windows2008虚拟机,所以下载HFish-0.6.2-win-386.tar.gz,下载解压之后,直接进入目录,命令行./HFish.exe run即可启动,简单无脑我喜欢
安装成功后会在9001端口开启一个后台服务,默认账户口令admin/admin
访问http://your-ip:9001登录之后长这样,平平无奇~~~
可以看到功能是很多的
注意上图中框起来的按钮,点击切换大屏,炫酷就完事了
有电影内味儿了,太冲了
上钩列表会统计蜜罐收到攻击,详细记录了黑客尝试过的账号密码,IP地址上机时间等信息
这里的345、789是我登录钓鱼页面使用的账号密码
HFish的配置文件是config.ini,建议使用notepad++或者sublime打开可以保持整齐的格式,记事本打开格式会很乱
开发者很贴心,配置文件注释的很详细
目前HFish自带的服务可以监控包括WEB、SSH、FTP、REDIS、MYSQL在内的12种服务
用户可以根据需要自定义蜜罐,按照配置文件的格式添加模块即可,具体可以参考使用文档:https://hfish.io/docs/#/pot/custom?id=%e6%b7%bb%e5%8a%a0%e8%9c%9c%e7%bd%90
主要是对端口的监听,WEB和DEEP的监控可以设置钓鱼页面,HFish自带的钓鱼页面是wordpress的后台登陆页面
跟真正的wordpress页面一模一样,但是无论你输入什么账号密码都会登陆失败,同时HFish会记录下信息
HFish同时还支持邮件群发,分布式集群管理等功能,简直是懒人福音
要注意,在配置文件中开启服务监控后,要前往防火墙手动放行相应的端口,否则会无法访问
如果你有公网的服务器,可以把HFish部署在公网上,当黑客尝试对你服务器上一些服务进行攻击时,HFish就会记录下黑客的IP和攻击信息,实现黑客诱捕的效果
