HFish是一款安全、简单可信赖的跨平台蜜罐软件,允许商业和个人用户免费使用。
1 特点
- 安全可靠:主打低中交互蜜罐,简单有效;
- 功能丰富:支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、无线AP、交换机/路由器、邮件系统、IoT设备等40多种蜜罐服务,支持用户制作自定义Web蜜罐,支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置;
- 开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业威胁、飞书、自定义WebHook告警输出;
- 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务;
- 跨平台:支持Linux x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件;
2 架构
HFish由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。
3 注意事项
- Linux 安装无需root权限,但是会导致无法监听低于TCP/1024以下端口
- 管理端使用 TCP/4433 和 TCP/4434 端口,节点端监听端口根据模拟的服务不同而不同
- 节点端需要可访问管理端的 TCP/4434 端口,管理端不会主动访问节点端
- 管理端默认用户名/密码:
admin / HFish2021
4 安装部署
先部署管理端,再通过管理端的Web页面配置节点端,安装包仅包含管理端和节点端,蜜罐服务包需要部署管理端后从 服务管理
页面联网下载或离线上传
可联网环境:如果用户的环境允许联网,建议使用以下快速部署步骤:
- Linux 环境:
- 在shell中运行命令:
sh | curl https://hfish.io/install.sh
- Windows x64 环境:
- 下载管理端安装包:请访问下载页面下载相应版本 https://hfish.io/#/download
- 解压缩后双击
server.exe
离线部署:如果用户为隔离网络环境,请使用以下部署方式
- Linux x64 环境:
- 下载管理端安装包:请访问下载页面下载相应版本 https://hfish.io/#/download
- 解压缩安装包:
tar zxvf ./hfish-*-linux-*.tar.gz
- 进入安装目录:
cd hfish
- 启动管理端:
nohup ./server &
5 配置
新部署的管理端,没有自带任何蜜罐服务,必须新增服务和节点端。管理端和节点端可以部署在同一台机器上。
- 新增服务
- 浏览器中输入
https://server_ip:4433/web/
,登录管理端 - 进入
服务管理
页面 - 如果当前管理端可联网,点击服务表格右侧的下载按钮,并等待服务下载完成
- 如果当前管理端不可联网,点击右上角
新增服务
按钮,上传服务包,服务包下载地址: /images/services/services-2.4.0.tar.gz
- 新增节点
- 浏览器中输入
https://server_ip:4433/web/
,登录管理端 - 进入
节点管理
页面,点击右上角新增节点按钮,根据节点操作系统和CPU架构动态创建安装包 - Linux可以选择命令安装或下载节点程序运行,Windows只能选择下载节点程序运行
6 功能概览
- 攻击详情:记录所有对蜜罐的访问请求,包括正常请求、gong 击行为、暴力破解
- 扫描详情:记录对所有节点主机的UDP和SYN扫描
- 蜜饵管理
- 节点信息
- 模板管理
- 威胁情报对接
- 告警配置