当前位置: 首页 > article >正文

HFish蜜罐的介绍和简单测试(一)

目录

0、什么是蜜罐

0.1、蜜罐的定义

0.2、蜜罐的优势

0.3、蜜罐与情报

1、HFish介绍

1.1、设计理念

1.2、HFish架构

1.3、HFish特点

1.4、常见蜜罐场景

 2、快速部署

2.1、环境要求

2.2、联网环境,一键安装

2.3、安装效果

3、错误排查

3.1、管理端问题

3.1、节点问题

3.3、蜜罐服务问题


0、什么是蜜罐

0.1、蜜罐的定义

        蜜罐 技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机网络服务 或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获 和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

0.2、蜜罐的优势

误报少,告警准确

        蜜罐作为正常业务的 "影子" 混淆在网络中,正常情况下不应被触碰,每次触碰都可以视为威胁行为。例如,在其它检测型产品中,将正常请求误判为攻击行为的误报很常见,而对于蜜罐来说,几乎不存在正常请求,即使有也是探测行为。

检测深入,信息丰富

        不同于其它检测型安全产品,蜜罐可以模拟业务服务甚至对攻击的响应,完整获取整个交互的所有内容,最大深度的获得攻击者探测行为之后的N个步骤,可检测点更多,信息量更大。

        例如,对于SSL加密 或工控环境,蜜罐可以轻松伪装成业务,得到完整攻击数据。

主动防御,预见未来,生产情报

        在每个企业,几乎每分钟都在发生这样的场景:潜伏在互联网角落中的攻击者发起一次攻击探测,防守方业务不存在安全漏洞,IDS告警后事情就不了了之了。

        而应用蜜罐型产品后,转换为主动防御思路: 蜜罐响应了攻击探测,诱骗攻击者认为存在漏洞,进而发送了更多指令,包括从远端地址下载木马程序,而这一切不仅被完整记录下来,还可以转化为威胁情报供给传统检测设备,用于在未来的某个时刻,准确检测主机失陷。

        可以发现,转换为主动防护思路后,威胁检测由针对单次、多变的攻击上升到应用威胁情报甚至TTPs(Tactics,Techniques, and Procedures)检测

*失陷指标(Indicators of Compromise,IOC)

环境依赖少,拓展视野

        由于是融入型安全产品,蜜罐不需要改动现有网络结构,并且很多蜜罐是软件形态,对各种虚拟和云环境非常友好,部署成本低。 蜜罐可以广泛部署于云端接入交换机下游末梢网络中,作为轻量级探针,将告警汇聚到态势感知或传统检测设备中分析和展示。

0.3、蜜罐与情报

        显而易见蜜罐 是非常准确、稳定和恰当的情报感知探针。 蜜罐最大的价值是诱使攻击者展示其能力和资产,再配合误报少,信息丰富等一系列优势,配合态势感知或本地情报平台可以稳定生产私有威胁情报。

1、HFish介绍

1.1、设计理念

        HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

        HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率。

1.2、HFish架构

        HFish采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。

在HFish中,管理端只用于数据的分析和展示节点端进行虚拟蜜罐,最后由蜜罐来承受攻击

         在最小化测试的情况,您可以直接通过安装管理端,通过管理端内的内置节点,直接进行蜜罐服务测试。

1.3、HFish特点

HFish当前具备如下几个特点:

  • 安全可靠:主打低中交互蜜罐,简单有效;

  • 功能丰富:支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、无线AP、交换机/路由器、邮件系统、IoT设备等40多种蜜罐服务,支持用户制作自定义Web蜜罐,支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置;

  • 开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出;

  • 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务;

  • 跨平台:支持Linux x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件。

1.4、常见蜜罐场景

 2、快速部署

2.1、环境要求

HFish支持的部署主机

        HFish采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。

WindowsLinux X86
管理端(Server)支持64位支持64位
节点端(Client)支持64位和32位支持64为和32位

HFish内网所需配置

通常来说部署在内网的蜜罐,对性能的要求较低,接入公网的蜜罐会有更大的性能需求。

针对过往测试情况,我们给出两个配置。注意,如果您的蜜罐部署在互联网,会遭受到较大攻击流量,建议提升主机的配置。

管理端节点端
建议配置2核4g200G1核2g50G
最低配置1核2g100G1核1g50G

注意:日志磁盘占用情况受攻击数量影响较大,建议管理端配置200G以上硬盘空间。

HFish外网所需配置(必须更换mysql数据库)

通常说接入公网的蜜罐会有更大的性能需求。

针对过往测试情况,我们给出两个配置。注意,如果您的蜜罐部署在互联网,会遭受到较大攻击流量,建议提升主机的配置。

管理端(必须更换mysql数据库)节点端
建议配置5个节点以内,4核8g200G。1核2g50G
最低配置2核4g100G1核1g50G

注意:日志磁盘占用情况受攻击数量影响较大,建议管理端配置200G以上硬盘空间。

部署权限要求

管理端对root权限的需求

  1. 如果使用官网推荐的install.sh脚本安装,需要root权限,安装目录会位于opt目录下;

  2. 如果下载安装包手动安装,在默认使用SQLite数据库情况下,管理端的部署和使用不需要root权限,但如果要替换SQLite改为MySQL数据,则MySQL安装和配置需要root权限;

节点端对root权限的需求

节点端安装和运行无需root权限,但是由于操作系统限制,非root权限运行的节点无法监听低于tcp/1024的端口;

2.2、联网环境,一键安装

特别注意:Centos 是我们的原生开发和主力测试系统,我们最优推荐各位使用Centos系统进行安装。

当前HFish启动后会有两个进程,其中"hfish"进程为管理进程,负责监测、拉起和升级蜜罐主程序,"管理端"进程为蜜罐主程序进程,其执行蜜罐软件程序。 Linux版本HFish管理端数据库及配置文件都存储在 /usr/share/hfish 目录下,重装时会自动读取目录下的配置和数据。

如果您部署的环境为Linux,且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置,在使用一键脚本前,请先配置防火墙

请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。)

firewall-cmd --add-port=4433/tcp --permanent   #(用于web界面启动)
firewall-cmd --add-port=4434/tcp --permanent   #(用于节点与管理端通信)
firewall-cmd --reload

使用root用户,运行下面的脚本。

bash <(curl -sS -L https://hfish.net/webinstall.sh)

完成安装

登陆链接:https://[ip]:4433/web/
账号:admin
密码:HFish2021

   2.3、安装效果

        本次测试使用Linux下联网环境安装,其他环境安装请参考官方手册。

     测试环境是我的VPS。

 选择1,安装和运行HFish

 等待安装完毕。

配置VPS的防火墙后可以打开管理界面(注意url后写全部包括web)

 自己测试使用SQLite数据库。

 首先修改密码,因为部署在互联网。

 登录以后可以看到节点状态和攻击状态

3、错误排查

3.1、管理端问题

管理端部署完成后,访问Web管理页面始终无法打开

解决办法:

1、确认浏览器访问地址是 https://[server]:4433/web/,注意不可缺少“/web/”这个路径

2、确认管理端进程的运行情况和TCP/4433端口开放情况,如果不正常需要重启管理端进程

# 检查 hfish-server的进程是否运行正常
ps ax | grep ./hfish | grep -v grep
​
# 检查TCP/4433端口是否正常开放
ss -ntpl

3、检查管理端主机是否开启了防火墙,导致目前无法访问,必要情况,考虑关闭防火墙

 #centos7 检查防火墙状态
 systemctl status firewalld

 #centos7 检查防火墙开放端口
 firewall-cmd --list-ports

4、Linux环境使用date命令确认系统时间的准确

5、如果以上都没有问题,请将server和client日志提供给我们

节点端日志在安装目录的logs文件夹内,文件名为client.log
Linux管理端日志在/usr/share/hfish/log文件夹内,文件名为server.log
Windows管理端日志在C:\Users\Public\hfish\log文件夹内,文件名为server.log

3.1、节点问题

节点状态为红色离线

解决办法:

1、检查节点到管理端的网络连通情况,以下是几种常见情况

节点每60秒连接管理端的TCP/4434端口一次,180秒内连接不上即显示为离线。
刚完成部署或网络不稳定的时候会出现显示为离线。
通常情况,等待2~3分钟,如果节点恢复绿色在线,那蜜罐服务也会从绿色启用,变成绿色在线。

2、如果确认网络访问正常,节点在管理端上始终离线,需要检查节点上的进程运行情况。如果进程运行异常,需要杀死全部关联进程后,重启进程,并记录错误日志。

# 检查./client的进程是否运行正常
ps ax | grep -E 'services|./client' | grep -v grep        

如果以上都没有问题,请将server和client日志提供给我们

节点端日志在安装目录的logs目录内,文件名为client.log
Linux管理端日志在/usr/share/hfish/log文件夹内,文件名为server.log
Linux管理端日志在C:\Users\Public\hfish\log文件夹内,文件名为server.log
​
Linux节点端后台运行方案:
nohup .~/client >>nohup.out 2>&1 &
​
Linux开机自启动方案
echo 'nohup .~/client >>nohup.out 2>&1 &' >> /etc/rc.local
​
Linux定时任务方案
echo '* * * * * nohup .~/client >>nohup.out 2>&1 &' >> /var/spool/cron/crontabs/root

3.3、蜜罐服务问题

节点在线,部分蜜罐服务在线,部分蜜罐服务离线

可通过触碰状态旁边的问号,确认离线原因。

bind:address already in use解决办法:

该报错情况往往是因为端口冲突

这个问题常见默认22端口的SSH服务,刚启动client的时候服务在线,过了一会儿后服务离线。
使用ss -ntpl命令检查该蜜罐服务的端口是否被占用?如果被占用,建议修改该业务的默认端口。
​
Windows操作系统上,如果用户启用了tcp端口监听,大概率会发现TCP 135、139、445、3389端口冲突,
这是用于Windows默认占用了这些端口,不建议在Windows上监听TCP 135、139、445、3389端口。
​
Linux操作系统端口冲突解决方案:
lsof -i:[port]
kill [pin]
重新启用该端口的蜜罐

**变更服务模板后,蜜罐新服务访问不到 **

在HFish当前的产品结构中,管理端**永远不会**主动连接节点进行节点配置的变更。
管理端仅负责生成一个配置,等待节点每60秒尝试连接管理端拉取。
​
蜜罐服务被攻击的结果,会实时上报到管理端。

 =========================================================

以上内容大部分参考HFish官方文档,本篇是介绍和安装,下篇计划更新详细使用。


http://www.kler.cn/a/2812.html

相关文章:

  • ArcGIS JSAPI 高级教程 - 通过RenderNode实现视频融合效果(不借助三方工具)
  • 【AndroidAPP】权限被拒绝:[android.permission.READ_EXTERNAL_STORAGE],USB设备访问权限系统报错
  • 初识 Conda:一站式包管理和环境管理工具
  • shell学习变量(二)
  • 安卓触摸事件的传递
  • 完整的 FFmpeg 命令使用教程
  • shell简单使用介绍
  • KafKa知识汇总
  • 大模型未来趋势
  • 【C++进阶】十一、哈希的应用---布隆过滤器(二)
  • Element table组件内容\n换行解决办法
  • 【C++】STL容器、算法的简单认识
  • 【CodeForces】Codeforces Round 859 (Div. 4) D
  • 看完这篇 教你玩转渗透测试靶机vulnhub——My File Server: 1
  • Android11以上版本使用高德定位,定位成功,卫星数一直为0
  • 【TypeScript 入门】14.泛型
  • 微软Bing GPT支持AI绘画了,输入文字就能出图
  • 值得记忆的STL常用算法,分分钟摆脱容器调用的困境,以vector为例,其余容器写法类似
  • Kotlin~Singleton单例模式
  • 文心一言 vs GPT-4 —— 全面横向比较
  • Halcon转OpenCV实例--纺织物折痕检测(附源码)
  • 防火墙和IDS
  • javaScript防抖与节流函数
  • 如何高效的导出 百万级别的数据量 到 Excel?
  • vscode 常用插件记录
  • 交通信号标志识别软件(Python+YOLOv5深度学习模型+清新界面)