From d831bea537d7816674f67ab723c7c5c875556cda Mon Sep 17 00:00:00 2001 From: maqian Date: Tue, 24 Aug 2021 10:08:56 +0800 Subject: [PATCH] =?UTF-8?q?=E4=B8=8A=E4=BC=A0=E6=89=AB=E6=8F=8F=E8=AF=B4?= =?UTF-8?q?=E6=98=8E=E6=96=87=E6=A1=A3?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/4-2-scan.md | 22 ++++++++++++++++++++++ 1 file changed, 22 insertions(+) diff --git a/docs/4-2-scan.md b/docs/4-2-scan.md index 50b9716..1c7b566 100644 --- a/docs/4-2-scan.md +++ b/docs/4-2-scan.md @@ -1,3 +1,5 @@ +### 扫描感知功能介绍 + ![image-20210730154355445](http://img.threatbook.cn/hfish/20210730154357.png) > 扫描感知可以感知到针对蜜罐节点的扫描行为 @@ -22,3 +24,23 @@ > **注意!Windows节点的扫描感知依赖WinPcap,需要手动进行下载安装!** WinPcap官方链接:https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe + + + + + +### 扫描感知数据异常 + +当前,Hfish的节点定义为“蜜罐机器”,即在常理上,**部署节点的机器是不运行任何正常业务的空机器**。 + +但在我们跟很多用户的访谈和交流中,用户往往会将自己**正常业务使用的笔记本,虚拟机作为节点机器**。 + +在这种情况下,因此您会在数据中发现您的软件信息被记录了,比如在很多windows的用户中,我们检测到了445端口的使用,该端口是由于用户有真实的软件占用了445端口。 + + + +在之后,我们会友好的帮您区分业务机器和蜜罐机器,做不同的监听手段。在当前,我们建议您采用业务机器部署的情况下,可以暂时关闭扫描感知功能。 + +如果您的扫描感知出现了其他问题,可以加入官方交流微信群,我们将会为您的问题提供详尽解答。 + +20210728203437