黑客诱捕器—蜜罐的部署与使用

个人比较懒，摘抄一段百度百科对于蜜罐的定义，这玩意基本上看标题一眼就能知道是干嘛的

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络

本章重点介绍一个开源国产的蜜罐系统HFish

一、简介

HFish是我个人比较喜欢的蜜罐，简单无脑，自带可视化后台，极度适合菜逼使用

HFish官网：https://hfish.io/

Github：https://github.com/hacklcx/HFish

这是一款国人使用golang开发的跨平台蜜罐，支持单机部署和集群部署，默认使用sqlite，但是生产环境下建议使用mysql数据库

二、下载安装

在Github上下载安装包，支持64/32位windows或者linux、Mac平台，根据需要下载

这里注意要下载0.6.2版本安装包，0.6.3为升级包，直接覆盖0.6.2版本目录下文件即可。

偷懒直接用了之前做测试用的32位windows2008虚拟机，所以下载HFish-0.6.2-win-386.tar.gz，下载解压之后，直接进入目录，命令行./HFish.exe run即可启动，简单无脑我喜欢

三、配置使用

安装成功后会在9001端口开启一个后台服务，默认账户口令admin/admin

访问http://your-ip:9001登录之后长这样，平平无奇~~~

可以看到功能是很多的

注意上图中框起来的按钮，点击切换大屏，炫酷就完事了

有电影内味儿了，太冲了

上钩列表会统计蜜罐收到攻击，详细记录了黑客尝试过的账号密码，IP地址上机时间等信息

这里的345、789是我登录钓鱼页面使用的账号密码

HFish的配置文件是config.ini，建议使用notepad++或者sublime打开可以保持整齐的格式，记事本打开格式会很乱

开发者很贴心，配置文件注释的很详细

目前HFish自带的服务可以监控包括WEB、SSH、FTP、REDIS、MYSQL在内的12种服务

用户可以根据需要自定义蜜罐，按照配置文件的格式添加模块即可，具体可以参考使用文档：https://hfish.io/docs/#/pot/custom?id=%e6%b7%bb%e5%8a%a0%e8%9c%9c%e7%bd%90

主要是对端口的监听，WEB和DEEP的监控可以设置钓鱼页面，HFish自带的钓鱼页面是wordpress的后台登陆页面

跟真正的wordpress页面一模一样，但是无论你输入什么账号密码都会登陆失败，同时HFish会记录下信息

HFish同时还支持邮件群发，分布式集群管理等功能，简直是懒人福音

要注意，在配置文件中开启服务监控后，要前往防火墙手动放行相应的端口，否则会无法访问

如果你有公网的服务器，可以把HFish部署在公网上，当黑客尝试对你服务器上一些服务进行攻击时，HFish就会记录下黑客的IP和攻击信息，实现黑客诱捕的效果