Shikong/HFish
1
0
Fork 0
mirror of https://gitee.com/lauix/HFish synced 2025-02-23 19:22:14 +08:00
Code Issues Packages Projects Releases Wiki Activity

2.6.0文档上架

Browse Source
This commit is contained in:
maqian 2021-09-14 23:06:34 +08:00
parent a4a88de23f
commit fb8b98f41f
32 changed files with 778 additions and 446 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
docs/1-1-honeypot.md
View File

@ -1,5 +1,5 @@
### 什么是蜜罐
### 蜜罐的定义
**蜜罐** 技术本质上是一种对攻击方进行 **欺骗的技术**,通过布置一些作为 **诱饵的主机**、**网络服务** 或者 **信息**,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 **捕获****分析**,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

15
docs/1-2-spec.md
View File

@ -1,5 +1,16 @@
### HFish架构
> HFish当前具备如下几个特点
HFish采用B/S架构系统由控制端和节点端组成控制端用来生成和管理节点端并接收、分析和展示节点端回传的数据节点端接受控制端的控制并负责构建蜜罐服务。
在HFish中**管理端**只用于**数据的分析和展示****节点端**进行**虚拟蜜罐**,最后由**蜜罐来承受攻击**。
<img src="http://img.threatbook.cn/hfish/image-20210902163914134.png" alt="image-20210902163914134" style="zoom:50%;" />
### HFish特点
HFish当前具备如下几个特点
- 安全可靠:主打低中交互蜜罐,简单有效;
@ -11,3 +22,5 @@
- 跨平台支持Linux x32/x64/ARM、Windows x32/x64平台

2
docs/1-4-scene.md
View File

@ -1,5 +1,5 @@
### 应用场景
#### 常见蜜罐场景
> **内网失陷检测场景**

0
docs/2-2-docker.md → docs/2-1-docker.md
View File

89
docs/2-2-linux.md Normal file
View File

@ -0,0 +1,89 @@
### 联网,使用一键安装脚本
如果您部署的环境为Linux且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置。
在使用一键脚本前,请先配置防火墙
> 请防火墙开启4433或者4434确认返回success如之后蜜罐服务需要占用其他端口可使用相同命令打开。
```
firewall-cmd --add-port=4433/tcp --permanent
firewall-cmd --add-port=4434/tcp --permanent
firewall-cmd --reload
```
> 使用root用户运行下面的脚本。
```
bash <(curl -sS -L https://hfish.io/install.sh)
```
<img src="http://img.threatbook.cn/hfish/20210812135015.png" alt="image-20210812135013716" style="zoom:50%;" />
> 完成安装安装
在安装完成后HFish会自动在控制端上创建一个节点。可在节点管理进行查看。
<img src="http://img.threatbook.cn/hfish/image-20210914113134975.png" alt="image-20210914113134975" style="zoom: 25%;" />
### 配置开机自启动
进入管理端server端安装目录执行
```
sh <(curl -sSL https://hfish.io/autorun.sh)
```
即可配置开机自启动。
(该方法通用于节点端自启动)
### 无法联网,手动安装
如果上述的安装脚本您无法使用,您可以尝试用手动安装完成部署。
> ##### **第一步:下载安装包**[HFish-Linux-amd64](https://hfish.cn-bj.ufileos.com/hfish-<% version %>-linux-amd64.tar.gz) Linux x86 架构 64 位系统)
使用按如下步骤进行安装 以linux64位系统为例
> 第二步: 在当前目录创建一个路径解压安装包
```
mkdir hfish
```
> 第三步将安装文件包解压到hfish目录下
```
tar zxvf hfish-*-linux-amd64.tar.gz -C hfish
```
> 第四步请防火墙开启4433或者4434确认返回success如果有其他服务需要打开端口使用相同命令打开。
```
firewall-cmd --add-port=4433/tcp --permanent
firewall-cmd --add-port=4434/tcp --permanent
firewall-cmd --reload
```
> 第五步进入安装目录直接运行server或者后台运行 nohup ./server &
```
cd hfish
nohup ./server &
```
> 第六步登陆web界面
```
登陆链接https://[ip]:4433/web/
账号admin
密码HFish2021
```
如果控制端的ip是192.168.1.1登陆链接为https://192.168.1.1:4433/web/

87
docs/2-3-linux.md
View File

@ -1,87 +0,0 @@
### 一键安装脚本
如果您部署的环境为Linux且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置请用root用户运行下面的脚本。
```
bash <(curl -sS -L https://hfish.io/install.sh)
```
![image-20210812135013716](http://img.threatbook.cn/hfish/20210812135015.png)
> 安装并运行单机版
这种安装方式,在安装完成后,自动在控制端上创建一个节点,并同时把控制端进程和节点端进程启动。
```
#控制端所在目录
/opt/hfish/
#节点端所在目录
/opt/hfish/client
```
> 安装并运行集群版
这种安装方式,会在安装完成后,启动控制端进程,需要我们后续完成添加节点的操作。
!> 控制端部署完成后,请继续参考下面的【控制端配置】完成配置
### 配置开机自启动
进入管理端server端安装目录执行
```
sh <(curl -sSL https://hfish.io/autorun.sh)
```
即可配置开机自启动。
(该方法通用于节点端自启动)
### 手动安装
如果上述的安装脚本您无法使用,您可以尝试用手动安装完成部署。
到官网 [https://hfish.io](https://hfish.io/) 下载HFish最新版本安装包按如下步骤进行安装 以linux64位系统为例
> 第一步: 在当前目录创建一个路径解压安装包
```
mkdir hfish
```
> 第二步将安装文件包解压到hfish目录下
```
tar zxvf hfish-*-linux-amd64.tar.gz -C hfish
```
> 第三步请防火墙开启4433或者4434确认返回success如果有其他服务需要打开端口使用相同命令打开。
```
firewall-cmd --add-port=4433/tcp --permanent
firewall-cmd --add-port=4434/tcp --permanent
firewall-cmd --reload
```
> 第四步进入安装目录直接运行server或者后台运行 nohup ./server &
```
cd hfish
nohup ./server &
```
> 第五步登陆web界面
```
登陆链接https://[ip]:4433/web/
账号admin
密码HFish2021
```
如果控制端的ip是192.168.1.1登陆链接为https://192.168.1.1:4433/web/

21
docs/2-3-windows.md Normal file
View File

@ -0,0 +1,21 @@
> **第一步:下载安装包**[HFish-Windows-amd64](https://hfish.cn-bj.ufileos.com/hfish-<% version %>-windows-amd64.tar.gz) Windows x86 架构 64 位系统)
> 第二步运行文件目录下的autorun.bat
autorun.bat将帮助server.exe转为后台运行启动后直接运行。(启动在一分钟内)
> 第三步登陆web界面
```
登陆链接https://[ip]:4433/web/
账号admin
密码HFish2021
```
如果控制端的ip是192.168.1.1登陆链接为https://192.168.1.1:4433/web
`如果您启动页面失败请查看windows防火墙是否放开4433与4434`

21
docs/2-5-mariadb.md → docs/2-4-mariadb.md
View File

@ -1,5 +1,14 @@
### 数据库选择方案
### 数据库相关
| 部署情况 | 内网和小规模部署情况 | 外网及大规模部署 |
| ---------- | -------------------- | ---------------- |
| 适用数据库 | Sqlite/Mysql均可 | Mysql |
`综合来说Mysql数据库适合于所有部署情况也是我们优先推荐的数据库其他数据处理能力和并发兼容上都要优于SQLite`
### SQlite详述
HFish系统默认使用的sqlite数据库具体见 db/hfish.db自带的已经初始化好的db相关的初始化脚本见 db/sql/sqlite/V<% version %>__sqlite.sql
@ -9,11 +18,13 @@ HFish系统默认使用的sqlite数据库具体见 db/hfish.db自带的已
sqlite3 hfish.db < db/sql/sqlite/V<% version %>__sqlite.sql
```
**sqlite数据库无需安装使用方便但在遭到大规模攻击及当前版本升级时候会存在数据丢失的问题。**
因此HFish同时**支持mysql**数据库,相关的初始化脚本见 db/sql/mysql/V<% version %>__mysql.sql。
### Sqlite更换为Mysql
HFish同时**支持mysql**数据库,相关的初始化脚本见 db/sql/mysql/V<% version %>__mysql.sql。
如果您想要切换到mysql数据库可以进行以下操作请确认已经安装了mysql数据库推荐5.7及以上版本)
@ -38,7 +49,7 @@ max_open = 50
max_idle = 50
url = ./db/hfish.db?cache=shared&mode=rwc
# type = mysql
# url = mysql用户名:密码@tcp(:3306)/hfish?charset=utf8&parseTime=true&loc=Local
# url = mysql用户名::密码@tcp(:3306)/hfish?charset=utf8&parseTime=true&loc=Local
```
**如果mysql想要加ip则使用**

17
docs/2-4-windows.md
View File

@ -1,17 +0,0 @@
> 第一步下载HFish
访问我们官网的[下载页面](https://hfish.io/#/download),下载最新版的服务端并解压。
> 第二步运行文件目录下的server.exe
server.exe为后台运行启动后直接后台运行。
> 第三步登陆web界面
```
登陆链接https://[ip]:4433/web/
账号admin
密码HFish2021
```
如果控制端的ip是192.168.1.1登陆链接为https://192.168.1.1:4433/web/

43
docs/2-1-env.md → docs/2-5-env.md
View File

@ -1,21 +1,4 @@
### 主机资源要求
> 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。
>
> 但接入公网的蜜罐对性能就会有更大的需求。
针对过往测试情况,我们给出两个配置。注意,如果您的蜜罐部署在互联网,会遭受到较大攻击流量,建议提升主机的配置。
```wiki
最低配置:控制端 1c2g100G、节点端 1c1g50G
建议配置:控制端 2c4g200G、节点端 1c2g50G
日志磁盘占用受攻击数量影响较大我们建议控制端配置200G硬盘空间以上
```
### 联网要求
### 网络要求
> HFish控制端会主动访问如下网络域名
@ -23,7 +6,7 @@ HFish支持IPv4和IPv6地址环境可以在完全隔离互联网的内部网
| 目的IP | 协议/端口 | 对应域名 | 访问目的 |
| ------------------------------------------------ ------- | --------- | ------------------- | ------------------------------------------------ |
| 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 |
| 103.210.21.74 | TCP/443 | hfish.io | **用于官网升级功能,建议开启** |
| 该域名使用CDN解析建议在实际网络中解析后开放权限 | TCP/443 | hfish.cn-bj.ufileos.com | 用于分发安装和升级包 |
| 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 |
| 该域名使用CDN解析建议在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 |
@ -42,24 +25,9 @@ HFish支持IPv4和IPv6地址环境可以在完全隔离互联网的内部网
### 部署权限要求
### 安全配置
> 控制端对root权限的需求
```wiki
1. 如果您使用的是官网推荐的install.sh脚本安装安装目录被释放到opt目录下过程需要root权限
2. 如果您下载安装包手动安装在默认使用SQLite数据库情况下控制端的部署和使用不需要root权限但如何替换SQLite改为MySQL数据则MySQL安装和配置需要root权限
```
> 节点端对root权限的需求
```wiki
节点端安装和运行无需root权限但是由于操作系统限制非root权限运行的节点无法监听低于tcp/1024的端口
```
### 控制端安全要求
##### 控制端安全要求
> 控制端应部署在安全区只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口
@ -78,7 +46,8 @@ https://192.168.11.11:4433/web/
- **tcp/4434端口“必须能”被蜜罐节点访问**;
### 节点端安全要求
##### 节点端安全要求
> 节点直接面对攻击者,建议遵循以下安全配置:

40
docs/2-deploy.md Normal file
View File

@ -0,0 +1,40 @@
#### HFish支持的部署主机
| | Windows | Linux X86 |
| ---------------- | -------------- | -------------- |
| 管理端Server) | 支持64位 | 支持64位 |
| 节点端Client | 支持64位和32位 | 支持64为和32位 |
#### HFish所需配置
> 通常来说部署在内网的蜜罐,对性能的要求较低,接入公网的蜜罐会有更大的性能需求。
针对过往测试情况,我们给出两个配置。注意,如果您的蜜罐部署在互联网,会遭受到较大攻击流量,建议提升主机的配置。
| | 控制端 | 节点端 |
| -------- | --------- | -------- |
| 建议配置 | 2核4g200G | 1核2g50G |
| 最低配置 | 1核2g100G | 1核1g50G |
`日志磁盘占用情况受攻击数量影响较大我们通常建议控制端配置200G硬盘空间以上`
#### 部署权限要求
> 控制端对root权限的需求
```wiki
1. 如果您使用的是官网推荐的install.sh脚本安装安装目录被释放到opt目录下过程需要root权限
2. 如果您下载安装包手动安装在默认使用SQLite数据库情况下控制端的部署和使用不需要root权限但如何替换SQLite改为MySQL数据则MySQL安装和配置需要root权限
```
> 节点端对root权限的需求
```wiki
节点端安装和运行无需root权限但是由于操作系统限制非root权限运行的节点无法监听低于tcp/1024的端口
```

34
docs/3-1-addnode.md Normal file
View File

@ -0,0 +1,34 @@
> 当前我们会为所有用户在Server机器上默认建立一个节点感知攻击。该节点命名为「内置节点」。
该节点将默认开启部分服务包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听。
<img src="http://img.threatbook.cn/hfish/image-20210902210912371.png" alt="image-20210902210912371" style="zoom:50%;" />
### 新增节点
> 进入节点管理页面,可进行 新增节点
<img src="http://img.threatbook.cn/hfish/image-20210902172749029.png" alt="image-20210902172749029" style="zoom:33%;" />
> 选择对应的安装包和回连地址
<img src="http://img.threatbook.cn/hfish/image-20210902172832815.png" alt="image-20210902172832815" style="zoom:33%;" />
<img src="http://img.threatbook.cn/hfish/image-20210902172916191.png" alt="image-20210902172916191" style="zoom:33%;" />
> 在节点机器执行命令语句或安装包,即可成功部署节点。
进入「节点管理」页面,对可对该节点进行管理。
### 删除节点
如果您进行节点删除,那么
- 节点端进程会自动退出,但程序会保留在原有路径,需要手动二次删除。
- 所有攻击数据不会丢失,仍然能在所有数据中进行查看

38
docs/3-2-manage.md Normal file
View File

@ -0,0 +1,38 @@
当前,修改节点服务可分为两种,
### 直接修改服务
> 点击单个节点,可直接对节点上的服务进行添加和删除
<img src="http://img.threatbook.cn/hfish/image-20210914120052175.png" alt="image-20210914120052175" style="zoom:50%;" />
### 创建模版,应用到多节点
进行模版创建,即可以将一套配置批量应用到多个节点上,其操作步骤如下:
> 进入模版管理,进行模版创建
<img src="http://img.threatbook.cn/hfish/image-20210914115931102.png" alt="image-20210914115931102" style="zoom:25%;" />
> 展开蜜罐节点,选择上面创建的蜜罐模板
<img src="http://img.threatbook.cn/hfish/20210616173018.png" alt="image-20210616173015062" style="zoom: 33%;" />
> 刚变更模板后的蜜罐服务状态为【启用】
<img src="http://img.threatbook.cn/hfish/20210616173055.png" alt="image-20210616173053947" style="zoom: 33%;" />
> 节点正常完成模板加载后,服务状态应该为【在线】。如果是【离线】,说明蜜罐服务没有正常启动,请参考我们后面的【排错说明】,找到问题。
<img src="http://img.threatbook.cn/hfish/20210616173129.png" alt="image-20210616173128526" style="zoom: 33%;" />

122
docs/3-2-services.md
View File

@ -1,123 +1,9 @@
### 配置工作总览
> 当前蜜罐包含五大类、共36种服务所有服务的详细描述都可以在「服务管理」中看到
!> 在完成控制端的部署后,我们还需要几个配置工作让整个系统运行起来。
```wiki
1. 添加【蜜罐服务】,让系统获得相应蜜罐的能力。
2. 创建【服务模板】,模板是数个蜜罐服务的集合,在大规模部署的环境中,模板可以帮我们更高效管理我们的集群。
3. 【增加节点】,单机版自带一个节点,集群版不带节点。系统至少需要一个节点才能正常运行。
4. 为蜜罐节点选择【服务模板】,选择了什么服务模板,蜜罐节点就具有了模板中的蜜罐能力。
```
<img src="http://img.threatbook.cn/hfish/image-20210914161340527.png" alt="image-20210914161340527" style="zoom:50%;" />
### 添加蜜罐服务
> 此外所有的web类蜜罐我们都提供了预览选项。可以更好的了解和搭配服务
!> 控制端运行起来后我们需要做的第一件事情就是下载蜜罐服务。您有2种方法可以添加蜜罐服务任选一种即可。
> 【服务管理】中下载蜜罐服务
```wiki
1. 登陆控制端后,打开【服务管理】页面,首次登陆页面上蜜罐服务都是灰色。
2. 选择自己需要的蜜罐服务进行下载。
```
<img src="http://img.threatbook.cn/hfish/20210616164014.png" alt="image-20210616164012531" style="zoom:50%;" />
> 手动上传蜜罐服务包
**当您处于离线环境不方便在线安装情况下,您可以使用手动上传安装的方式。**
```wiki
1. 下载最新官方服务包 [services包](http://img.threatbook.cn/hfish/svc/services-<% version %>.tar.gz)
2. 在新增服务页面上选择该服务包上传。
```
<img src="http://img.threatbook.cn/hfish/20210616165216.png" alt="image-20210616165214921" style="zoom:50%;" />
> 上传自定义web蜜罐
如果您有自定义web蜜罐的需求我们为您准备了开发样例您可以参考下面的文档完成蜜罐的开发工作后进行上传也可以在社区中寻找其它用户开发好的蜜罐上传后使用。
### 自定义web蜜罐页面
#### 通过样例了解功能实现方式
> web蜜罐样例
```wiki
# 下载自定义web蜜罐样例
http://img.threatbook.cn/hfish/svc/service-demo.zip
```
> 解压后获得index.html和portrait.js两个文件
> index.html文件中的代码功能
```wiki
<form>中的代码明确了页面上账密表单的提交方式,具体利用方式参考下文“制作全新的登陆页面”
<script>jsonp
```
> portrait.js 文件中的代码功能
```wiki
这个文件是jsonp溯源功能的利用代码攻击者在已登录其他社交平台的情况下蜜罐可以获得部分社交平台的账号信息。
本代码因为利用了浏览器的漏洞,有一定的时效性,随着攻击者更新自己的浏览器,利用代码可能失效。并有可能让攻击者在访问该页面时,触发杀毒软件的报警。
在利用代码失效后您可以选择删除index.html中的利用代码。
同时请关注我们的官网( https://hfish.io 和x社区( https://x.threatbook.cn )等待我们和社区用户更新漏洞利用代码并替换本文件和index内的利用代码恢复溯源能力。
```
### 制作全新的登陆页面
我们可以自己制作一个全新的登陆页面,通过替换表单元素实现“定制开发”
```shell
- 修改主页文件名为index.html
- 按照下面图片的要求,修改表单元素。
```
![蜜罐web页面表格元素](http://img.threatbook.cn/hfish/20210728213641.png)
### 打包并上传到蜜罐的管理后台
> 打包所有静态文件资源
把所有的静态文件文件打包名为“service-xxx.zip”文件。包括但不限于index.html 、portrait.js 和其它格式的静态文件、文件夹。
注意:文件命名为规范格式前缀 **必须** 为“service-” “xxx”可以自定义但不能为“web”和“root”且压缩包 **必须** 压缩为.zip格式文件。
![image-20210508222121613](http://img.threatbook.cn/hfish/20210728213740.png)
> 打开控制端后台
![image-20210508213915879](http://img.threatbook.cn/hfish/20210728213815.png)
> 配置新增服务页面
![image-20210508221316072](http://img.threatbook.cn/hfish/20210728213852.png)
> 自定义web蜜罐添加成功
![image-20210508222350694](http://img.threatbook.cn/hfish/20210728213909.png)
<img src="http://img.threatbook.cn/hfish/image-20210914161437108.png" alt="image-20210914161437108" style="zoom:50%;" />

24
docs/3-3-checkattack.md Normal file
View File

@ -0,0 +1,24 @@
当前HFish提供四个不同的功能进行**攻击信息查看**,分别为:**攻击列表**、**扫描感知**、**攻击来源**、**账号资产**
<img src="http://img.threatbook.cn/hfish/image-20210902143712779.png" alt="image-20210902143712779" style="zoom: 33%;" />
四种功能分别代表四种不同的攻击数据场景
| | 功能简介 | 功能原理 |
| ------------ | -------------------------------------- | ------------------------------------------------------------ |
| **攻击列表** | 收集了所有对蜜罐的攻击信息。 | 在节点部署蜜罐后,攻击者对蜜罐的**所有攻击信息**都会被收录到「攻击列表」中。 |
| **扫描感知** | 收集了节点机器网卡的所有连接信息。 | 在生成节点之后HFish会**记录对节点所有网卡的连接**包括来访IP连接IP和端口。 |
| **攻击来源** | 收集了所有连接和攻击节点的IP信息 | **所有**尝试连接和攻击节点的**IP信息**都被记录在攻击来源中,如果蜜罐溯源和反制成功,信息也会被记录其中。 |
| **账号资产** | 收集了所有攻击者破解蜜罐使用的账号密码 | HFish会**提取**攻击者对SSH、以及所有WEB蜜罐**登陆所使用的账号密码**,进行统一展示。同时,用户可**自定义监控词汇**,如员工姓名、公司名称等,一旦与攻击者使用的账号重合,可高亮显示并告警。 |
其他功能的详细解释文档可查看
[攻击列表](4-1-attack)
[扫描感知](4-2-scan)
[攻击来源](5-1-source)
[账号资产](5-2-asset)

101
docs/8-2-debug.md → docs/3-4-debug.md
View File

@ -1,45 +1,10 @@
### 常见问题排查
> 节点状态为红色离线,蜜罐服务却是绿色启用?
![](http://img.threatbook.cn/hfish/20210812135754.jpg)
解决办法:
1. 检查节点到管理端的网络连通情况,并等待……
```shell
节点每90秒连接server的TCP/4433端口一次180秒内连接不上即显示离线。
在刚刚完成部署或网络不稳定的时候会出现这种情况。
通常情况等待2~3分钟如果节点恢复绿色在线那蜜罐服务也会从绿色启用变成绿色在线。
```
2. 检查管理端防火墙以及ACL策略是否放行了节点对server 4434端口的访问
```shell
# 从节点主机发起wget测试
wget [服务器地址]:4434
```
3. 如果确认网络访问正常节点在server上始终离线需要检查节点上的进程运行情况。如果进程运行异常需要杀死全部关联进程后重启进程并记录错误日志。
```shell
# 检查./client的进程是否运行正常
ps ax | grep -E 'services|./client' | grep -v grep
# 检查./service的进程是否运行正常
ps ax | grep ./server | grep -v grep
```
### 管理端问题
> server部署完成后web页面始终无法打开
解决办法:
1. 确认浏览器访问地址是 https://[server]:4433/web/注意不可缺少“web”这个路径
1. 确认浏览器访问地址是 https://[server]:4433/web/login注意不可缺少“/web/login”这个路径
2. 确认server进程的运行情况和4433端口开放情况如果不正常需要重启server进程并记录错误日志
@ -53,7 +18,7 @@
蜜罐服务名称.log
```
3. 检查server主机是否开启了防火墙
3. 检查server主机是否开启了防火墙,导致目前无法访问
4. 如果以上都没有问题请将server和client日志提供给我们
@ -62,6 +27,50 @@
# 控制端日志在安装目录的logs文件夹内文件名为server-*.log
```
### 节点问题
> 在机器上执行了节点脚本,但是「节点管理」处没有信息
检查管理端防火墙以及ACL策略是否放行了节点对server 4434端口的访问
```shell
# 可以从节点主机发起wget测试
wget [服务器地址]:4434
```
> 节点状态为红色离线
![](http://img.threatbook.cn/hfish/20210812135754.jpg)
解决办法:
1. 检查节点到管理端的网络连通情况,并等待……
```shell
节点每90秒连接server的TCP/4433端口一次180秒内连接不上即显示离线。
在刚刚完成部署或网络不稳定的时候会出现这种情况。
通常情况等待2~3分钟如果节点恢复绿色在线那蜜罐服务也会从绿色启用变成绿色在线。
```
2. 如果确认网络访问正常节点在server上始终离线需要检查节点上的进程运行情况。如果进程运行异常需要杀死全部关联进程后重启进程并记录错误日志。
```shell
# 检查./client的进程是否运行正常
ps ax | grep -E 'services|./client' | grep -v grep
# 检查./service的进程是否运行正常
ps ax | grep ./server | grep -v grep
```
### 蜜罐服务问题
> 节点在线,部分蜜罐服务在线,部分蜜罐服务离线
解决办法:
@ -85,12 +94,12 @@
> 变更服务模板后,蜜罐新服务访问不到
```shell
在HFish当前的产品结构中管理端永远不会主动连接节点进行节点配置的变更。
而是在管理端上生成一个配置,等待节点来拉取。
节点每90秒尝试连接管理端一次获取到变更数据后还需要从管理端上拉取新的服务解压服务包并运行。
运行服务的结果会在下一个90秒回连时上报到管理端。
这个流程最慢的话可能会有一个3分钟左右延时。
所以刚刚变更蜜罐服务后,请大家稍微等等。
```
```
在HFish当前的产品结构中管理端永远不会主动连接节点进行节点配置的变更。
而是在管理端上生成一个配置,等待节点来拉取。
节点每90秒尝试连接管理端一次获取到变更数据后还需要从管理端上拉取新的服务解压服务包并运行。
运行服务的结果会在下一个90秒回连时上报到管理端。
这个流程最慢的话可能会有一个3分钟左右延时。
所以刚刚变更蜜罐服务后,请大家稍微等等。
```

46
docs/4-1-extranet.md Normal file
View File

@ -0,0 +1,46 @@
### 扫描感知功能介绍
![image-20210730154355445](http://img.threatbook.cn/hfish/20210730154357.png)
> 扫描感知可以感知到针对蜜罐节点的扫描行为
扫描感知通过对网卡抓包可以感知到针对该节点全端口的扫描行为。支持TCP、UDP和ICMP扫描类型。
- 目前扫描感知列表内能够展示的信息如下:
1. 扫描IP
2. 威胁情报
3. 被扫描节点
4. 被扫描IP
5. 扫描类型
6. 被扫描端口
7. 节点位置
8. 扫描开始时间
9. 扫描持续时间
> **注意Windows节点的扫描感知依赖WinPcap需要手动进行下载安装**
WinPcap官方链接https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe
### 扫描感知数据异常
当前Hfish的节点定义为“蜜罐机器”即在常理上**部署节点的机器是不运行任何正常业务的空机器**。
但在我们跟很多用户的访谈和交流中,用户往往会将自己**正常业务使用的笔记本,虚拟机作为节点机器**。
在这种情况下因此您会在数据中发现您的软件信息被记录了比如在很多windows的用户中我们检测到了445端口的使用该端口是由于用户有真实的软件占用了445端口。
在之后,我们会友好的帮您区分业务机器和蜜罐机器,做不同的监听手段。在当前,我们建议您采用业务机器部署的情况下,可以暂时关闭扫描感知功能。
如果您的扫描感知出现了其他问题,可以加入官方交流微信群,我们将会为您的问题提供详尽解答。
<img src="http://img.threatbook.cn/hfish/20210728203437-20210824100822201.png" alt="20210728203437" style="zoom:50%;" />

46
docs/4-2-Intranet.md Normal file
View File

@ -0,0 +1,46 @@
### 扫描感知功能介绍
![image-20210730154355445](http://img.threatbook.cn/hfish/20210730154357.png)
> 扫描感知可以感知到针对蜜罐节点的扫描行为
扫描感知通过对网卡抓包可以感知到针对该节点全端口的扫描行为。支持TCP、UDP和ICMP扫描类型。
- 目前扫描感知列表内能够展示的信息如下:
1. 扫描IP
2. 威胁情报
3. 被扫描节点
4. 被扫描IP
5. 扫描类型
6. 被扫描端口
7. 节点位置
8. 扫描开始时间
9. 扫描持续时间
> **注意Windows节点的扫描感知依赖WinPcap需要手动进行下载安装**
WinPcap官方链接https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe
### 扫描感知数据异常
当前Hfish的节点定义为“蜜罐机器”即在常理上**部署节点的机器是不运行任何正常业务的空机器**。
但在我们跟很多用户的访谈和交流中,用户往往会将自己**正常业务使用的笔记本,虚拟机作为节点机器**。
在这种情况下因此您会在数据中发现您的软件信息被记录了比如在很多windows的用户中我们检测到了445端口的使用该端口是由于用户有真实的软件占用了445端口。
在之后,我们会友好的帮您区分业务机器和蜜罐机器,做不同的监听手段。在当前,我们建议您采用业务机器部署的情况下,可以暂时关闭扫描感知功能。
如果您的扫描感知出现了其他问题,可以加入官方交流微信群,我们将会为您的问题提供详尽解答。
<img src="http://img.threatbook.cn/hfish/20210728203437-20210824100822201.png" alt="20210728203437" style="zoom:50%;" />

74
docs/5-1-selfdesign.md Normal file
View File

@ -0,0 +1,74 @@
#### 通过样例了解功能实现方式
> web蜜罐样例
```wiki
# 下载自定义web蜜罐样例
http://img.threatbook.cn/hfish/svc/service-demo.zip
```
> 解压后获得index.html和portrait.js两个文件
> index.html文件中的代码功能
```wiki
<form>中的代码明确了页面上账密表单的提交方式,具体利用方式参考下文“制作全新的登陆页面”
<script>jsonp
```
> portrait.js 文件中的代码功能
```wiki
这个文件是jsonp溯源功能的利用代码攻击者在已登录其他社交平台的情况下蜜罐可以获得部分社交平台的账号信息。
本代码因为利用了浏览器的漏洞,有一定的时效性,随着攻击者更新自己的浏览器,利用代码可能失效。并有可能让攻击者在访问该页面时,触发杀毒软件的报警。
在利用代码失效后您可以选择删除index.html中的利用代码。
同时请关注我们的官网( https://hfish.io 和x社区( https://x.threatbook.cn )等待我们和社区用户更新漏洞利用代码并替换本文件和index内的利用代码恢复溯源能力。
```
### 制作全新的登陆页面
我们可以自己制作一个全新的登陆页面,通过替换表单元素实现“定制开发”
```shell
- 修改主页文件名为index.html
- 按照下面图片的要求,修改表单元素。
```
![蜜罐web页面表格元素](http://img.threatbook.cn/hfish/20210728213641.png)
### 打包并上传到蜜罐的管理后台
> 打包所有静态文件资源
把所有的静态文件文件打包名为“service-xxx.zip”文件。包括但不限于index.html 、portrait.js 和其它格式的静态文件、文件夹。
注意:文件命名为规范格式前缀 **必须** 为“service-” “xxx”可以自定义但不能为“web”和“root”且压缩包 **必须** 压缩为.zip格式文件。
![image-20210508222121613](http://img.threatbook.cn/hfish/20210728213740.png)
> 打开控制端后台
![image-20210508213915879](http://img.threatbook.cn/hfish/20210728213815.png)
> 配置新增服务页面
![image-20210508221316072](http://img.threatbook.cn/hfish/20210728213852.png)
> 自定义web蜜罐添加成功

16
docs/5-apply.md Normal file
View File

@ -0,0 +1,16 @@
当前进阶应用分为四个不同的模块,对应不同使用需求
| 功能 | 使用场景 | 技术难度 |
| ------------------------------- | ------------------------------------------------------------ | ---------------- |
| [自定义Web蜜罐](5-1-selfdesign) | 仿真自己内部使用的业务系统,用来更精准的收集攻击信息 | 需要一定前端了解 |
| [企业信息监控](5-2-account) | 监控企业是否有泄漏在外的信息密码,例如员工邮箱,办公账号,企业内部系统账号等。 | 无需技术了解 |
| [蜜饵配置](5-3-lures) | 检测业务服务器是否有失陷状态,蜜饵本身为一个静态文件,将其放置到业务服务器即可,不会对业务造成任何问题。 | 无需技术了解 |
| [测试样例](5-1-source) | 所有蜜罐触发方式和触发状态 | 部分技术了解 |
| [卸载HFish](uninstall) | HFish管理端和客户端的卸载方法 | 无需技术了解 |
其他场景和进阶使用需求,可以加入官方微信群
![20210728203437](http://img.threatbook.cn/hfish/20210728203437.png)

8
docs/README.md
View File

@ -1,4 +1,4 @@
## HFish设计理念
#### HFish设计理念
HFish承载了全新的架构理念和实现方案增加了蜜罐在威胁情报和诱捕溯源领域的能力帮助企业在红蓝对抗中自动化的对攻击者进行画像和追溯。
@ -6,14 +6,12 @@ HFish承载了全新的架构理念和实现方案增加了蜜罐在威胁情
我们深知企业环境特殊性为了便于快速部署和敏捷管理HFish提供了一系列方便运维和管理的技术包括一键闪电部署、应用模板批量管理、节点服务动态调整等特性……
## 我们的故事
#### 我们的故事
2019年的8月7日我们发布了自己的第一款开源蜜罐在16个月里在Github上获得2.6k个star在Gitee上成为安全类目TOP5的GVP项目。
2021年2月9日融合社区反馈和过去2年的思考我们发布了全新概念的威胁捕捉和诱骗系统 HFish V2采用闭源共享方式向所有用户免费授权使用。
## 联系我们
#### 联系我们
![HFish官方群的qr](http://img.threatbook.cn/hfish/20210728203437.png)

6
docs/_coverpage.md
View File

@ -2,7 +2,7 @@
![logo](http://img.threatbook.cn/hfish/logo.png ":size=200x202")
# HFish <sup class="version">2.5.0</sup>
# HFish <sup class="version">2.6.0</sup>
# 安全、简单、有效的蜜罐平台 <sup class="version">永久免费</sup>
@ -10,8 +10,8 @@
[Linux版](https://hfish.io/#/2-3-linux)
[Windows版](https://hfish.io/#/2-4-windows)
[Linux版](https://hfish.io/#/2-2-linux)
[Windows版](https://hfish.io/#/2-3-windows)
[使用手册](#HFish设计理念)
<!-- 背景图片 -->

81
docs/_sidebar.md
View File

@ -1,41 +1,44 @@
- HFish介绍
- [HFish介绍](README)
- [什么是蜜罐](1-1-honeypot)
- [HFish特点](1-2-spec)
- [HFish原理](1-3-workflow)
- [应用场景](1-4-scene)
- [下载HFish](download)
- 快速开始
- [环境要求](2-1-env)
- [Linux](2-3-linux)
- [Windows](2-4-windows)
- [Docker](2-2-docker)
- [数据库相关](2-5-mariadb)
- 环境管理
- [添加服务](3-2-services)
- [创建模板](3-3-tmpl)
- [新增节点](3-1-node)
- [部署后的检查](3-4-check)
- 威胁感知
- [攻击列表](4-1-attack)
- [扫描感知](4-2-scan)
- 威胁实体
- [攻击来源](5-1-source)
- [账号资产](5-2-asset)
- [蜜饵介绍](5-3-lures)
- 系统配置
- [情报对接](6-1-intel)
- [通知配置](6-2-message)
- [告警策略](6-3-alarm)
- [钉钉告警配置方式](6-2-dingtalk)
- [API配置](6-4-api)
- 平台管理
- [登录管理](7-1-login)
- [系统信息](7-2-info)
- 进阶应用
- [测试样例](8-1-demo)
- [密码重置](8-3-resetpwd)
- [错误排查](8-2-debug)
- [卸载蜜罐](uninstall)
- [HFish结构](1-2-spec)
- [快速下载及部署](2-deploy)
- [下载](download)
- [Linux下载部署](2-2-linux)
- [Windows下载部署](2-3-windows)
- [提高数据库性能](2-4-mariadb)
- [企业部署策略](2-5-env)
- [快速上手](1-3-workflow)
- [添加/删除节点](3-1-addnode)
- [添加/删除蜜罐](3-2-manage)
- [查看攻击](3-3-checkattack)
- [错误排查](3-4-debug)
- [场景使用建议](1-4-scene)
- [进阶应用](5-apply)
- [自定义Web蜜罐](5-1-selfdesign)
- [企业信息监控](5-2-account)
- [蜜饵配置](5-3-lures)
- [测试样例](5-1-source)
- [卸载HFish](uninstall)
- 详细功能说明
- 威胁态势
- [首页](dashboard)
- 威胁感知
- [攻击列表](4-1-attack)
- [扫描感知](4-2-scan)
- 威胁实体
- [攻击来源](5-1-source)
- [账号资产](5-2-asset)
- [蜜饵配置](5-3-lures)
- 环境管理
- [节点管理](3-1-node)
- [模版管理](3-3-tmpl.md)
- [服务管理](3-2-services)
- 系统配置
- [告警策略](6-3-alarm)
- [情报对接](6-1-intel)
- [通知配置](6-2-message)
- [API配置](6-4-api)
- 平台管理
- [登陆管理](7-1-login)
- [系统信息](7-2-info)
- [已知问题](known)
- [ChangeLog](changelog)

31
docs/dashboard.md Normal file
View File

@ -0,0 +1,31 @@
当前,我们在「数据首页」中对攻击数据进行可视化处理,希望能够协助对攻击态势的分析和统计。
数据首页包括以下几部分
### 系统运行状态
针对HFish系统的运行状况我们对节点状态和蜜罐状态提供了可视化查看能力
针对管理端的运行情况,我们提供了状态栏进行查看
<img src="/Users/maqian/Library/Application Support/typora-user-images/image-20210914160036385.png" alt="image-20210914160036385" style="zoom:67%;" />
### 威胁链条
参考Kill Chain我们在攻击者的攻击链路从不同的威胁等级进行区分绘制了HFish蜜罐的攻击链路图。从扫描/攻击/登陆尝试/高危登陆尝试和失陷这五个角度进行区分,进行更好的威胁发现。
![image-20210914160703477](http://img.threatbook.cn/hfish/image-20210914160703477.png)
### 被攻击趋势
从攻击IP的分布趋势、蜜罐服务的被攻击趋势以及部署节点的被攻击趋势三个部分进行可视化分析展示更好了解自己的威胁来源。迅速做出对策和反应。
<img src="http://img.threatbook.cn/hfish/image-20210914160836213.png" alt="image-20210914160836213" style="zoom:50%;" />
<img src="http://img.threatbook.cn/hfish/image-20210914160912912.png" alt="image-20210914160912912" style="zoom:50%;" />

61
docs/download.md
View File

@ -3,17 +3,16 @@
### 当前最新版本 HFish v<% version %>
```wiki
2021年7月25日发布
2021年9月14日发布
特别注意只支持2.4.0及其以上的版本支持顺滑升级,其他版本需要重新进行部署安装。
1.新增API配置功能支持用户对攻击IP、攻击详细信息、攻击者所使用攻击账号密码导出。
2.新增TCP端口监听服务支持最高对10个自定义端口的灵活监听。
3.新增蜜罐服务的支持单个节点最高可添加10种蜜罐服务。
4.新增windows开机自启动能力防止意外关机导致的程序退出。
5.修复告警策略中,修改配置不生效的问题。
6.修复数据清理时扫描数据攻击IP及账号资产未进行清理的问题。
7.修复部分使用交互问题。
1.启动HFish的时候会默认在节点管理启动「本机节点」且默认启用初始服务。
2.支持节点自由添加与修改蜜罐服务,可跳过模版。
3.新增「首页」模块,可快速感知运行状态和攻击态势。
4.增加包括常见运维系统、web系统、邮件系统、OA系统、常见IT设备、常见Web服务器等六种场景下的共21种蜜罐。
5.优化解决节点离线问题 ,增强节点稳定性。
6.修复部分使用交互问题。
```
@ -21,48 +20,6 @@
### 控制端安装包
- [HFish-Linux-amd64](https://hfish.cn-bj.ufileos.com/hfish-<% version %>-linux-amd64.tar.gz) 为 Linux x86 架构 64 位系统使用
- [HFish-Windows-amd64](https://hfish.cn-bj.ufileos.com/hfish-<% version %>-windows-amd64.tar.gz) 为 Windows x86 架构 64 位系统使用
- [HFish-Linux-arm64](https://hfish.cn-bj.ufileos.com/hfish-<% version %>-linux-arm64.tar.gz) 为 Linux Arm 架构 64 位系统使用,常见于 NAS、路由器、树莓派等……
-
-
## 文件结构
```wiki
HFish
│ server #控制端文件
│ config.ini #控制端配置文件
│ README.md #安装使用说明
│ version #版本信息
│ ssl.key #SSL私钥
│ ssl.pem #SSL证书
│ tools #控制台工具目前功能为重置控制台web登录密码
└───db
│ │ hfish.db #sqlite数据
│ │ ipip.ipdb #ip归属地信息
│ │
│ └───sql
│ └───mysql
│ │ V<% version %>__mysql.sql #mysql数据库用户升级文件
│ │
│ └───sqlite
│ │ V<% version %>__sqlite.sql #sqlite数据库用户升级文件
└───logs
│ │ server-年-月-日.log #server日志文件
└───packages
│ │ install.sh #节点部署时安装脚本
│ │ node_account.conf #蜜饵源文件
│ │
│ └───linux-x86 #Linux 服务包
│ │ client
│ │ service-*.tar.gz
└───static #web服务预览图
│ └───services
│ │ ……
└───web #控制台web文件
│ │ ……
```

11
docs/index.html
View File

@ -56,12 +56,16 @@
window.$docsify = {
name: 'HFish',
loadSidebar: true,
alias: {
'/.*/_sidebar.md': '/_sidebar.md',
},
loadNavbar: true,
mergeNavbar: true,
auto2top: true,
subMaxLevel: 2,
subMaxLevel: 3,
coverpage: true,
themeColor: '#e93636',
sidebarDisplayLevel: 0, // set sidebar display level
dv: {
model: {
version: '2.5.0',
@ -69,7 +73,7 @@
},
search: {
paths: 'auto',
maxAge: 86400000, // 过期时间,单位毫秒,默认一天
maxAge: 26400000, // 过期时间,单位毫秒,默认一天
placeholder: '请输入搜索内容',
noData: '找不到结果!',
depth: 2
@ -90,6 +94,9 @@
<script src="//cdn.jsdelivr.net/npm/prismjs@1/components/prism-bash.min.js"></script>
<script src="//cdn.jsdelivr.net/npm/prismjs@1/components/prism-markdown.min.js"></script>
<script src="https://cdn.jsdelivr.net/npm/docsify-tabs@1"></script>
<!-- plugins -->
<script src="//cdn.jsdelivr.net/npm/docsify-sidebar-collapse/dist/docsify-sidebar-collapse.min.js"></script>
</body>
</html>

48
docs/introduce/1-1-honeypot.md Normal file
View File

@ -0,0 +1,48 @@
### 什么是蜜罐
**蜜罐** 技术本质上是一种对攻击方进行 **欺骗的技术**,通过布置一些作为 **诱饵的主机**、**网络服务** 或者 **信息**,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 **捕获****分析**,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
### 蜜罐的优势
> **误报少,告警准确**
蜜罐作为正常业务的 "**影子**" 混淆在网络中,正常情况下不应被触碰,每次触碰都可以视为威胁行为。
例如,在其它检测型产品中,将正常请求误判为攻击行为的误报很常见,而对于蜜罐来说,几乎 **不存在正常请求**,即使有也是探测行为。
> **检测深入,信息丰富**
不同于其它检测型安全产品,蜜罐可以 **模拟业务服务甚至对攻击的响应**完整获取整个交互的所有内容最大深度的获得攻击者探测行为之后的N个步骤可检测点更多信息量更大。
例如,对于 **SSL加密****工控环境**,蜜罐可以轻松伪装成业务,得到完整攻击数据。
> **主动防御,预见未来,生产情报**
在每个企业,几乎每分钟都在发生这样的场景:
潜伏在互联网角落中的攻击者发起一次攻击探测防守方业务不存在安全漏洞IDS告警后事情就不了了之了。
而应用蜜罐型产品后,转换为 **主动防御思路**
蜜罐响应了攻击探测,诱骗攻击者认为存在漏洞,进而发送了更多指令,包括从远端地址下载木马程序,而这一切不仅被完整记录下来,还可以转化为威胁情报供给传统检测设备,用于在未来的某个时刻,准确检测主机失陷。
可以发现,转换为主动防护思路后, **威胁检测由针对单次、多变的攻击上升到应用威胁情报甚至TTPs检测**
> **环境依赖少,拓展视野**
由于是融入型安全产品,蜜罐**不需要**改动现有网络结构,并且很多蜜罐是软件形态,对各种虚拟和云环境非常友好,部署成本低。
蜜罐可以广泛部署于**云端**和**接入交换机下游末梢网络中**,作为**轻量级探针**,将告警汇聚到态势感知或传统检测设备中分析和展示。
### 蜜罐和威胁情报的关系
显而易见 **蜜罐** 是非常准确、稳定和恰当的 **情报感知探针**
蜜罐最大的价值是 **诱使攻击者展示其能力和资产**,再配合误报少,信息丰富等一系列优势,配合态势感知或本地情报平台可以稳定生产私有威胁情报。

13
docs/introduce/1-2-spec.md Normal file
View File

@ -0,0 +1,13 @@
> HFish当前具备如下几个特点
- 安全可靠:主打低中交互蜜罐,简单有效;
- 蜜罐丰富支持SSH、FTP、TFTP、MySQL、Redis、Telnet、VNC、Memcache、Elasticsearch、Wordpress、OA系统等10多种蜜罐服务支持用户制作自定义Web蜜罐
- 开放透明支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出
- 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务;
- 跨平台支持Linux x32/x64/ARM、Windows x32/x64平台

17
docs/introduce/1-3-workflow.md Normal file
View File

@ -0,0 +1,17 @@
> HFish基本结构
HFish由管理端server和节点端client组成管理端用来生成和管理节点端并接收、分析和展示节点端回传的数据节点端接受管理端的控制并负责构建蜜罐服务。
> HFish各模块关系图
![image-20210611130621311](http://img.threatbook.cn/hfish/20210616174908.png)
> 融合在企业网络中
![image-20210611130733084](http://img.threatbook.cn/hfish/20210616174930.png)

39
docs/introduce/1-4-scene.md Normal file
View File

@ -0,0 +1,39 @@
### 应用场景
> **内网失陷检测场景**
该场景是蜜罐在企业环境 **最常见** 的使用方法,用来捕捉内网已经失陷、勒索软件和恶意行为,重点在于 **敏捷准确**,具体可细分为 **内部办公场景****内部IDC场景**
**内部办公场景**:蜜罐被部署在企业内部办公网区,用于 **感知内网失陷主机、勒索软件扫描或恶意员工内网刺探行为** 常见模板可设置为监听tcp/135、139、445和3389等服务。
**内部服务器场景**:蜜罐被部署在企业内部服务器区,用于 **感知内网失陷和横向移动**常见模板可以设置文模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。
> **外网风险感知和情报生产场景**
该场景一般是将节点部署在互联网区,用来感知互联网来自自动化蠕虫、竞争对手和境外的 **真实威胁**,甚至发现针对客户的 **0day攻击**,通过和具有情报生产能力的 **情报平台** 对接,可以稳定准确的**生产私有威胁情报**。
另外,需要注意,该场景会捕捉到 **大量真实攻击行为** ,在部署蜜罐之前建议将蜜罐加入网络检测设备白名单中避免产生误报。
> **云环境风险感知场景**
由于云环境特殊性,云上 **匮乏** 流量检测类安全产品,此外企业防守者需要频繁切换查看本地安全设备的告警与云端有限安全设备的告警。
而通过在云端部署蜜罐产品,应用蜜罐 **吸引部分攻击**,保护真实业务,并且企业防守者可以通过蜜罐感知到 **云上威胁的强度和方式**,不至于对安全现状一无所知,最后通过 **蜜罐产品的API****本地态势感知或检测设备** 打通,实现防守者通过一个平台 **统一管理**
> **员工账号密码资产遗失感知场景**
员工账号密码资产遗失对于企业来说都是 **致命隐患**,安全团队如何感知是当下一个空白。
企业可将常见的对外服务例如vpn.company.com或hr.company.com **替换成蜜罐**,通过监控试图登录的账号判断是否为 **内部员工账号**,并实时通知安全团队和该员工,敦促其尽快修改密码。
> **企业安全意识培训场景**
在企业安全工作中,员工 **安全意识问题** 常常被忽略,而对于攻击者,搜集员工信箱批量发送钓鱼或木马病毒链接只要有一个成功即可突破辛苦构建的企业安全防线。
使用开源的钓鱼邮件工具和 **Web蜜罐自定义能力**,可以快速、低成本的组装 **企业安全意识培训平台**

7
docs/introduce/_sidebar.md Normal file
View File

@ -0,0 +1,7 @@
- HFish介绍
- [什么是蜜罐](1-1-honeypot)
- [HFish特点](1-2-spec)
- [HFish原理](1-3-workflow)
- [应用场景](1-4-scene)
- [下载HFish](download)

BIN
root@192.168.101.185 Normal file
View File

Binary file not shown.