蜜罐HFish搭建

搭建蜜罐前的准备
 

准备两个虚拟机，然后可以通过ifconfig查看到ip即可，一个蜜罐管理端，一个蜜罐节点端。

HFish设计理念

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

HFish支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、安全产品、无线AP、交换机/路由器、邮件系统、IoT设备等90多种蜜罐服务、支持用户制作自定义Web蜜罐、支持流量牵引到免费云蜜网、支持可开关的全端口扫描感知能力、支持可自定义的蜜饵配置、一键部署、跨平台多架构，支持Linux x32/x64/ARM、Windows x32/x64平台和多种国产操作系统、支持龙芯、海光、飞腾、鲲鹏、腾云、兆芯等国产CPU、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。

1、切换到root权限， 开放4433、4434端口

firewall-cmd --add-port=4433/tcp --permanent

firewall-cmd --add-port=4434/tcp --permanent

firewall-cmd –reload

 

2、运行在线安装命令bash <(curl -sS -L https://hfish.net/webinstall.sh)

bash <(curl -sS -L https://hfish.net/webinstall.sh)

如果发生错误运行此命令sudo yum update ca-certificates

3、然后再次运行bash <(curl -sS -L https://hfish.net/webinstall.sh)在线命令即可

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021

4、配置

可以在内置节点添加服务，也可以新建节点添加服务

5、安装HFish管理端后，默认在管理端所在机器上建立节点感知攻击，该节点被命名为「内置节点」。

该节点将默认开启部分服务，包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。

新增节点进入【节点管理】页面，点击【增加节点】

6.新建一个虚拟机然后运行在节点端运行

如果时间有限，当用户部署完HFish管理端后，只需要了解并操作以下三步就可以进行蜜罐观测。

7、添加删除节点

安装HFish管理端后，在管理端所在机器上会默认建立节点感知攻击，该节点被命名为【内置节点】。

用户也可以在其他机器上部署新的节点，以增加观测范围。

8、添加删除蜜罐

蜜罐、节点和管理端的关系类似于总部、零售店和货物的关系，总部（管理端）负责管理零售店（一个或多个节点端），并提供货物（一个或多个蜜罐服务），零售店（一个或多个节点端）负责将总部（管理端）推送的货物（一个或多个蜜罐服务）上架并提供具体服务。

节点负责主动和管理端沟通，用户通过管理端Web界面配置后，节点根据指令在主机上构建具体蜜罐服务。

一个节点最多可以同时构建10个蜜罐服务。

9、查看攻击详情

HFish有四个不同的页面提供攻击详情，分别为：攻击列表、扫描感知、攻击来源、账号资产