mirror of
https://gitee.com/lauix/HFish
synced 2025-02-24 19:52:18 +08:00
47 lines
1.7 KiB
Markdown
47 lines
1.7 KiB
Markdown
### 扫描感知功能介绍
|
||
|
||
|
||
|
||
> 扫描感知可以感知到针对蜜罐节点的扫描行为
|
||
|
||
扫描感知通过对网卡抓包,可以感知到针对该节点全端口的扫描行为。支持TCP、UDP和ICMP扫描类型。
|
||
|
||
|
||
|
||
- 目前扫描感知列表内能够展示的信息如下:
|
||
1. 扫描IP
|
||
2. 威胁情报
|
||
3. 被扫描节点
|
||
4. 被扫描IP
|
||
5. 扫描类型
|
||
6. 被扫描端口
|
||
7. 节点位置
|
||
8. 扫描开始时间
|
||
9. 扫描持续时间
|
||
|
||
|
||
|
||
> **注意!Windows节点的扫描感知依赖WinPcap,需要手动进行下载安装!**
|
||
|
||
WinPcap官方链接:https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe
|
||
|
||
|
||
|
||
|
||
|
||
### 扫描感知数据异常
|
||
|
||
当前,Hfish的节点定义为“蜜罐机器”,即在常理上,**部署节点的机器是不运行任何正常业务的空机器**。
|
||
|
||
但在我们跟很多用户的访谈和交流中,用户往往会将自己**正常业务使用的笔记本,虚拟机作为节点机器**。
|
||
|
||
在这种情况下,因此您会在数据中发现您的软件信息被记录了,比如在很多windows的用户中,我们检测到了445端口的使用,该端口是由于用户有真实的软件占用了445端口。
|
||
|
||
|
||
|
||
在之后,我们会友好的帮您区分业务机器和蜜罐机器,做不同的监听手段。在当前,我们建议您采用业务机器部署的情况下,可以暂时关闭扫描感知功能。
|
||
|
||
如果您的扫描感知出现了其他问题,可以加入官方交流微信群,我们将会为您的问题提供详尽解答。
|
||
|
||
<img src="http://img.threatbook.cn/hfish/20210728203437-20210824100822201.png" alt="20210728203437" style="zoom:50%;" />
|