|
护网蓝队-蜜罐的搭建及使用 原创 CatalyzeSec[url=]CatalyzeSec[/url] 一、介绍 蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 二、搭建这里我们搭建开源蜜罐HFish,它是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 1.安装docker环境yum install -y docker-ce //安装docker systemctl stop firewalld //关闭防火墙 systemctl disable firewalld //关闭防火墙自启 systemctl start docker //开启docker服务 2.安装HFishdocker run -itd --name hfish \ -v /usr/share/hfish:/usr/share/hfish \ --network host \ --privileged=true \ threatbook/hfish-server:latest 复制粘贴执行即可 docker run -d \ --namewatchtower \ --restart unless-stopped \ -v/var/run/docker.sock:/var/run/docker.sock \ --label=com.centurylinklabs.watchtower.enable=false \ --privileged=true \ containrrr/watchtower \ --cleanup \ hfish\ --interval 3600 配置后续自动升级,这也是docker安装的一点好处 3.部署HFish登录地址:https://[server]:4433/web/ 初始用户名:admin 初始密码:HFish2021 如果部署在流量一般较小的内网的话选择左边,直接上线,进入会提示修改密码 如果我们想部署在外网的话,SQLite不适应大数据环境和频繁读写的情况,而外网环境一般会遭受较大的流量或频繁的攻击,因此选择MySQL进行部署。 也可以在平台管理的系统配置中进行更换,注意不支持MySQL数据库降级回SQLite,这里MySQL需要自行搭建并创建供HFish存储的库,部署在与HFish相同服务器上的话需要修改端口 使用小皮的话需要将root的地址限制解除,"%"为任何人都可远程连接 update user set host = '%' where user ='root'; select host, user from user; 可以看到已经监测到了攻击 还有数据大屏可供查看 三、使用在环境管理的节点管理中可以看到默认部署的一些蜜罐服务 这里我们对蜜罐进行攻击 可以看到攻击次数、攻击IP等信息都被记录了 可以在攻击列表看到攻击的详细信息 请求包具体信息 可以供我们来了解攻击者的手段,制定相应的应对措施 可以在节点管理中添加更多的蜜罐服务,这里添加一个深信服网页防篡改系统的蜜罐 对其进行抓包爆破 在账号资源处可以查看到攻击者爆破使用的账号密码,可以获取其字典 更多玩法可以访问官方文档进行查阅学习: https://hfish.net/#/README
| 
发表于 2024-5-24 19:12:56