【推荐】常见开源蜜罐系统

何为蜜罐？

蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而捕获和分析攻击行为，了解攻击方所使用的工具与方法，增强实际系统的安全防护能力。蜜罐系统可以模拟真实系统的服务和响应，记录所有与蜜罐的交互，包括网络包、系统日志、命令行操作等，并通过自动化工具和人工分析来解析收集的数据，识别攻击模式和趋势。

蜜罐系统类型

• 主机蜜罐：在单个主机上部署一个虚拟环境或容器，模拟真实系统的特性和漏洞。
• 应用蜜罐：针对特定应用程序或服务进行模拟部署，如Web服务器、数据库等。
• 物理蜜罐：在物理设备上部署蜜罐系统，模拟网络设备、传感器等。
• 高交互蜜罐：提供更多的功能和服务，与攻击者进行交互，使其相信蜜罐是真实系统。

蜜罐系统主要优势

1. 被动响应，降低法律风险：蜜罐技术属于被动响应，意味着使用者没有主动入侵的法律纠纷风险。
2. 高真实性和低误报率：由于蜜罐不提供任何实际的业务服务，收集到的信息很大可能性是由于黑客攻击造成的，因此漏报率和误报率都比较低。
3. 收集新的攻击工具和方法：蜜罐可以收集新的攻击工具和攻击方法，不同于大部分防火墙和入侵检测系统只能检测已知的攻击。
4. 低成本：蜜罐系统不需要强大的资金投入，可以使用一些低成本的设备。
5. 及时阻断网络入侵：蜜罐可以及时地阻断网络入侵行为。

HFish蜜罐系统

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

特点：

• 安全可靠：主打低中交互蜜罐，简单有效；
• 功能丰富：支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、无线AP、交换机/路由器、邮件系统、IoT设备等40多种蜜罐服务，支持用户制作自定义Web蜜罐，支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置；
• 开放透明：支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业威胁、飞书、自定义WebHook告警输出；
• 快捷管理：支持单个安装包批量部署，支持批量修改端口和服务；
• 跨平台：支持Linux x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件；
• 部署难度：支持快捷部署，整体部署难度低。

官网：

反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台

新的版本不可源，但是仍免费。

开源蜜罐T-Pot

T-Pot 是一体化、可选分布式、多架构（amd64、arm64）蜜罐平台，支持 20+ 个蜜罐和无数可视化选项，使用 Elastic Stack、动画实时攻击地图和大量安全工具，以进一步改善欺骗体验。

特点：

多用途蜜罐框架：T-Pot部署了一系列协议特定的Docker容器，模拟了多种常见的网络服务，如HTTP、SSH、FTP等。

弹性堆栈集中管理：T-Pot框架从每个容器收集所有日志，然后集中到一个弹性堆栈中，为管理员提供针对每种服务的所有攻击的前端视图。

恶意软件样本捕获：T-Pot不仅捕获攻击日志，还能捕获恶意软件样本，为进一步分析攻击提供了能力。

多虚拟网卡和隔离环境：T-Pot具有多块虚拟网卡，可以运行多个蜜罐守护程序和工具，同时确保各个蜜罐之间的运行环境互不干扰。

官网：

国内镜像： T-pot蜜罐 (gitee.com)     

GitHub - telekom-security/tpotce: 🍯 T-Pot - The All In One Multi Honeypot Platform 🐝

tpotce:🍯 T-Pot - The All In One Honeypot Platform 🐝 - GitCode

T-Pot和HFish的对比

T-Pot和Hfish它们在功能和用途上有所不同。

T-Pot是一个多蜜罐平台，基于Docker容器技术，集成了多种蜜罐程序。它主要用于网络安全领域，通过布置诱饵主机、网络服务或信息，诱使攻击者实施攻击，从而捕获和分析攻击行为。T-Pot的蜜罐在隔离环境中运行，攻击者入侵后的所有操作都会被记录下来，供安全分析师使用。T-Pot支持多种蜜罐类型，如Conpot（低交互工控蜜罐）、Cowrie（中交互SSH蜜罐）、Dionaea（网络数据捕获蜜罐）等，适用于不同的攻击场景和分析需求。

Hfish则是一个专注于钓鱼攻击的蜜罐平台，主要用于钓鱼邮件、钓鱼链接等社交工程攻击的模拟和检测。它通过模拟用户点击链接或下载附件的行为，来评估和提升组织对钓鱼攻击的防范能力。Hfish的特点是能够高度模拟真实的攻击场景，帮助用户识别和防范社交工程攻击。

总结来说，T-Pot更适合用于网络攻击的捕获和分析，而Hfish则专注于社交工程攻击的模拟和检测。

开源蜜罐OpenCanary

OpenCanary 是一个多协议网络蜜罐。它的主要用例是在黑客入侵非公共网络后将其捕获。它对资源的要求极低，并且可以进行调整、修改和扩展。

先决条件

• AMD64：Python 3.7（推荐 Python 3.7+）
• ARM64：Python 3.9+
• 自选SNMP 需要 Python 库 Scapy
• 自选Samba 模块需要 Samba 的有效安装
• 自选Portscan 使用 iptables（而不是 nftables），并且仅在基于 Linux 的操作系统上受支持

特征

• 轻量级：在有限的硬件资源下也能高效运行。
• 高度可配置：支持启用或禁用不同协议模块，以及自定义警报机制。
• 广泛兼容：支持AMD64和ARM64架构，可在Ubuntu和macOS上安装。
• 开源可扩展：代码开放，开发者可自由修改和添加功能。

官网：

GitHub - thinkst/opencanary：模块化和去中心化的蜜罐

Configuration — OpenCanary 0.9 documentation

OWASP Honeypot

OWASP Honeypot 是一款 Python 语言的开源软件，旨在以简单安全的方式创建蜜罐和蜜网！此项目与 Python 3.x 兼容，并在 Mac OS X 和 Linux 上进行了测试。

优势

• 模块化设计：支持多种协议的蜜罐模块，用户可以根据需求灵活选择。
• 安全性：项目设计时充分考虑了安全性，确保蜜罐系统的稳定和安全。
• 易用性：提供API和Web界面，方便用户进行管理和监控。
• Docker支持：通过Docker容器化部署，简化环境配置和部署流程。

官网：

GitHub - OWASP/Python-Honeypot: OWASP Honeypot, Automated Deception Framework.

python-honeypot：OWASP 蜜罐，自动欺骗框架。- GitCode

Kippo

Kippo是款中等交互的SSH蜜罐工具，带有图形化界面，可以在浏览器中查看登录的IP、攻击操作及统计报表。当攻击者拿到了蜜罐的SSH口令后可以登录到蜜罐服务器执行些常见的Linux命令，Kippo支持对文件系统记录的完全伪装。

特点：

• 具有添加/删除文件能力的假文件系统。包括一个类似于 Debian 5.0 安装的完整假文件系统
• 可以添加虚假文件内容，以便攻击者可以“cat”文件，例如 /etc/passwd。仅包含最少的文件内容
• 会话日志以 UML 兼容格式存储，以便于使用原始计时重放
• 就像 Kojoney 一样，Kippo 会保存使用 wget 下载的文件以供以后检查
• 欺骗;ssh 假装连接到某个地方，exit 并没有真正退出，等等

该系统已经有10年未更新了，可用作学习，但是不推荐使用。

官网

GitHub - desaster/kippo: Kippo - SSH Honeypot

MHN现代蜜网

MHN(Modern Honey Network，现代蜜网)，它可以快速部署、使用，也能够快速的从节点收集数据。

MHN是一个开源软件，它简化了蜜罐的部署，同时便于收集和统计蜜罐的数据。MHN使用开源蜜罐来收集数据，整理后保存在Mongodb中，收集到的信息也可以通过web接口来展示或者通过开发的API访问。 MHN能够提供多种开源的蜜罐，可以通过web接口来添加他们。一个蜜罐的部署过程很简单，只需要粘贴，复制一些命令就可以完成部署，部署完成后，可以通过开源的协议hpfeeds来收集的信息。

该项目三年前未在更新。

官网：

GitHub - pwnlandia/mhn： 现代蜂蜜网络

MHN支持蜜罐：

1.Sort:https://www.snort.org/

2.Suricata:http://suricata-ids.org/

+3.Dionaea:http://dionaea.carnivore.it/,一个低交互式的蜜罐，能够模拟MSSQL, SIP, HTTP, FTP, TFTP等服务

*4.Conpot:http://conpot.org/

*5.Kippo:https://github.com/desaster/kippo，一个中等交互的蜜罐，能够下载任意文件。 

6.Amun:http://amunhoney.sourceforge.net/，一个低交互式蜜罐，但是已经从2012年之后不在维护了。

*7.Glastopf：http://glastopf.org/

*8.Wordpot：https://github.com/gbrindisi/wordpot

+9.ShockPot：https://github.com/threatstream/shockpot，模拟的CVE-2014-6271，即破壳漏洞

*10.p0f：https://github.com/p0f/p0f

特征

MHN 是一个 Flask 应用程序，它公开了一个 HTTP API，蜜罐可以使用它来：

• 下载部署脚本
• 连接和注册
• 下载 snort 规则
• 发送入侵检测日志

它还允许系统管理员：

• 查看新攻击列表
• 管理 snort 规则：启用、禁用、下载

安装

• Ubuntu 18.04、Ubuntu 16.04 和 Centos 6.9 支持 MHN 服务器。
• 其他版本的 Linux 可能有效，但通常未经测试或支持。

安装 Git

# on Debian or Ubuntu
$ sudo apt install git -y

安装 MHN

$ cd /opt/
$ sudo git clone https://github.com/pwnlandia/mhn.git
$ cd mhn/

运行以下脚本以完成安装。当此脚本运行时， 系统将提示您输入一些配置选项。请参阅下文，了解这是如何实现的 看起来。

$ sudo ./install.sh

配置

===========================================================
MHN Configuration
===========================================================
Do you wish to run in Debug mode?: y/n n
Superuser email: YOUR_EMAIL@YOURSITE.COM
Superuser password: 
Server base url ["http://1.2.3.4"]: 
Honeymap url ["http://1.2.3.4:3000"]:
Mail server address ["localhost"]: 
Mail server port [25]: 
Use TLS for email?: y/n n
Use SSL for email?: y/n n
Mail server username [""]: 
Mail server password [""]: 
Mail default sender [""]: 
Path for log file ["mhn.log"]: