什麼是蜜罐
蜜罐:技術本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者資訊,誘使攻擊方對它們實施攻擊,進而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防禦方清晰地了解他們所面對的安全威脅,并通過技術和管理手段來增強實際系統的安全防護能力。
蜜罐 好比是情報收集系統。蜜罐好像是故意讓人攻擊的目标,引誘黑客前來攻擊。是以攻擊者入侵後,你就可以知道他是如何得逞的,随時了解針對伺服器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系,收集黑客所用的種種工具,并且掌握他們的社交網絡。
HFish
HFish是一款基于 Golang 開發的跨平台多功能主動誘導型開源蜜罐架構系統,為了企業安全防護做出了精心的打造,全程記錄黑客攻擊手段,實作防護自主化
1)多功能:不僅僅支援 HTTP(S) 蜜罐,還支援 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗網等
2)擴充性:提供 API 接口,使用者可以随意擴充蜜罐子產品 ( WEB、PC、APP )
3)便捷性:使用 Golang + SQLite 開發,使用者可以在 Win + Mac + Linux 上快速部署一套蜜罐平台
1、下載下傳HFish Linux64位版本
https://github.com/hacklcx/HFish/releases https://github.com/hacklcx/HFish/releases/download/0.6.2/HFish-0.6.2-linux-amd64.tar.gz
2、安裝環境準備
為了後面示範SSH蜜罐,這裡先修改伺服器自身SSH預設端口22為其它端口
sed -i "s/#Port 22/Port 2122/g" /etc/ssh/sshd_config
service sshd restart
複制
3、解壓部署HFish
cd /opt
#rz上傳 #然後解壓到目前目錄
tar -zxf HFish-0.6.2-linux-amd64.tar.gz
#重命名一下解壓目錄
mv HFish-0.6.2-linux-amd64 HFish
cd HFish
#-h檢視指令幫助
./HFish -h
#運作HFish
./HFish run
複制
4、登入Web界面
http://192.168.31.80:9001/login
初始賬号密碼 admin/admin
5、利用其它機器模拟攻擊測試
下面利用一台Fedora32的機器 192.168.31.155進行示範
1)先配置yum源
mv /etc/yum.repos.d/fedora.repo /etc/yum.repos.d/fedora.repo.backup
mv /etc/yum.repos.d/fedora-updates.repo /etc/yum.repos.d/fedora-updates.repo.backup
mv /etc/yum.repos.d/*.repo /opt
wget -O /etc/yum.repos.d/fedora.repo http://mirrors.aliyun.com/repo/fedora.repo
wget -O /etc/yum.repos.d/fedora-updates.repo http://mirrors.aliyun.com/repo/fedora-updates.repo
yum makecache
複制
2)模拟公網IP
6、模拟攻擊
1)SSH登入
2)telnet
3)模拟登入MySQL
sed -i "s/gpgcheck=1/gpgcheck=0/g" /etc/yum.repos.d/*.repo
yum install mysql
mysql -uroot -p -h
複制
4)FTP
5)web8080
7、蜜罐效果