HFish蜜罐的搭建和使用

一、蜜罐介绍

蜜罐根据能力分为:低交互蜜罐、中交互蜜罐、高交互蜜罐。是一种改变网络安全防御被动局面的一种主动防御技术,现已成为监测、分析网络威胁的主要技术手段,并逐渐演进为体系化的网络主动防御架构网络欺骗。通过与移动目标防御等防御技术结合,完全有可能创造出更加安全高效的主动防御体系,在网络安全防御中发挥更大作用。

国家保密科技测评中心:https://www.gjbmj.gov.cn/n1/2021/1224/c411145-32316186.html

二、HFish 蜜罐

官网:https://hfish.net/

提供Windows、Linux及Dcoker 下载。是一款社区型免费蜜罐,为用户提供可独立操作且实用可靠的中低交互蜜罐。用户需要先部署管理端,再通过管理端内置蜜罐节点或部署新节点。

三、蜜罐部署

1、部署环境

我们以HFish 蜜罐为例,来进行部署

部署环境:

  1. Centos7 的Linux 系统
  2. 采用线下部署方式(方便内网环境)

2、线下部署

linux 部署帮助文档:Linux下载部署 (hfish.net)

1、下载安装包

image-20240219134431019

2、在Centos7中解压

1
tar -zxvf hfish-3.3.4-linux-amd64.tgz

image-20240219135101119

3、确保4433、4434端口开放

1
2
3
sudo firewall-cmd --add-port=4433/tcp --permanent   (用于web界面启动)
sudo firewall-cmd --add-port=4434/tcp --permanent   (用于节点与管理端通信)
sudo firewall-cmd --reload

4、执行install.sh脚本

image-20240219135155606

5、登陆web页面进行蜜罐访问

1
2
3
登陆链接:https://[ip]:4433/web/
账号:admin
密码:HFish2021

image-20240219140420136

之后配置好数据库稍等片刻即可登陆首页

image-20240219142216264

3、部署节点

节点管理处展开节点之后即可添加节点

image-20240219140841909

添加具备诱惑力的节点,可以自己任意选择

image-20240219140938613

4、查看捕获信息

image-20240219141424862

可查看攻击者的数据包信息

image-20240219141746115

在大屏实时捕获攻击信息

image-20240219141555311

四、蜜罐识别

参考链接:攻防演练中红队如何识别蜜罐保护自己 - FreeBuf网络安全行业门户

  1. 端口开放情况:蜜罐通常会开放大量端口,尤其是那些常用于服务的端口。如果一个系统开放了异常多的端口,尤其是那些不常见的端口,这可能是蜜罐的迹象。
  2. 响应特征:蜜罐在模拟各种协议时,可能会在响应中带有一些明显的特征。例如,某些蜜罐在实现特定协议时,可能会使用固定的参数或者响应模式。
  3. 协议实现的缺陷:部分蜜罐在模拟协议时可能存在不完善的地方,攻击者可以通过发送特定的请求包来检测这些缺陷,从而识别出蜜罐。
  4. WEB服务特征:蜜罐提供的WEB服务中可能会包含特定的文件、脚本或者版本号等,这些特征可以用来识别蜜罐。例如,某些蜜罐可能会在页面中嵌入特定的JavaScript文件或者显示特定的错误信息。
  5. 上下文特征:蜜罐在执行命令时可能会表现出上下文的异常,如固定不变的输出或者异常的进程启动时间。
  6. Fuzz testing特征:一些蜜罐采用模糊测试(Fuzz testing)的思想,对任意端口的TCP SYN Packet进行响应,或者根据协议特征永远返回正确的响应。
  7. 虚拟机特征:蜜罐可能会部署在虚拟机上,攻击者可以通过检查MAC地址范围、虚拟机特有的文件系统和注册表信息等来识别虚拟机。
  8. 网络流量分析:蜜罐通常会限制系统向外的流量,或者在同一个网段内部署多个蜜罐,这可以通过网络流量分析工具如Nmap、Shodan或Censys来识别。
  9. ASN分布:蜜罐可能会部署在特定的IP地址范围内,这些地址可能属于特定的网络服务提供商(ISP),尤其是云服务提供商。
  10. 设备指纹:蜜罐可能会在WEB页面中嵌入大量设备指纹信息,如Server、Title字段,这些信息可以用来识别蜜罐。