HFish架构深度解析:从蜜罐诱捕到威胁狩猎的完整技术链路
文章目录
- 蜜罐技术
- HFish介绍
- HFish架构
- HFish搭建
- 总结
蜜罐技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。另外蜜罐也可以消耗攻击者的时间,基于JSONP等方式来获取攻击者的画像。
总结:
蜜罐技术是一种网络安全防御手段,它通过部署伪装的假服务或系统来吸引攻击者,使攻击流量偏离真实生产服务,从而形成一道天然屏障;在这个过程中,合法用户的请求仍流向主服务,而攻击者的扫描、漏洞利用或异常请求被“截胡”到蜜罐中进行记录和分析,既保护了生产环境,又能够收集攻击行为与威胁情报,为后续防御和安全策略提供依据。
HFish介绍
HFish是一个国产的 开源分布式蜜罐系统。
官方介绍:
HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
HFish支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、安全产品、无线AP、交换机/路由器、邮件系统、IoT设备等90多种蜜罐服务、支持用户制作自定义低交互Web蜜罐、支持将本地攻击流量牵引到免费的云端蜜网、支持全端口扫描感知能力、支持可自定义的蜜饵配置、一键部署、跨平台多架构,支持Linux x32/x64/ARM、Windows x32/x64平台和多种国产操作系统、支持龙芯、海光、飞腾、鲲鹏、腾云、兆芯等国产CPU、极低的性能要求、支持邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率。
特点:
- 支持 SSH、Redis、MySQL、Telnet、HTTP 等常见端口诱捕
- 自带 Web 控制台,实时查看攻击事件
- 支持威胁情报上报和可视化分析
- 一行命令快速部署
- 采用Go语言编写
HFish架构
- 管理端(藏于内网,安全管理):部署在企业内网,是整个系统的“大脑”,负责策略配置、攻击数据聚合与分析、告警响应。
- 节点端(暴露在外,感知攻击):部署在公网/外网边界,是系统的“触角”,负责模拟虚假服务(蜜罐)、捕获攻击行为、上报数据。
管理端:攻击分析与运营中心
管理端提供可视化操作界面,聚焦**“攻击监测、溯源、告警”**,核心功能包括:
- 查看攻击日志:记录所有蜜罐捕获的攻击细节(时间、来源IP、攻击手法、漏洞利用等)。
- 查看扫描记录:统计攻击者对蜜罐的端口扫描、服务探测行为,识别扫描源和扫描模式。
- 查看攻击手法:分析攻击者使用的技术(如漏洞利用 payload、暴力破解字典等),总结攻击趋势。
- 攻击溯源:结合多维度数据(如IP归属、攻击链特征),追踪攻击者身份或关联组织。
- 告警:对高危攻击(如漏洞利用成功、批量扫描)触发邮件/短信/企业微信等通知,实现快速响应。
节点端:攻击诱捕与数据采集
节点端是**“分布式蜜罐集群”**,每个节点包含多个核心组件,分工明确:
- 蜜罐服务(多个):模拟真实业务系统(如 HTTP 服务器、SSH 服务、数据库服务等),但这些服务是“虚假”的——攻击者看似成功入侵,实际进入隔离的“沙箱环境”。通过模拟不同服务,扩大诱捕范围(覆盖更多攻击面)。
- 蜜罐配置:定义蜜罐的“伪装规则”(如模拟的服务版本、漏洞类型、响应延迟等),让虚假服务更逼真,降低攻击者怀疑。
- RPC 代理:节点端与管理端的“通信桥梁”,负责双向数据传输:向上:将节点端捕获的攻击数据(日志、流量包、攻击源 IP 等)上报给管理端。向下:接收管理端的配置指令(如更新蜜罐服务、调整诱捕策略)。
HFish搭建
我们采用Docker的方式进行部署,Docker部署方式让整个过程变得特别简单,能快速搭建起一个功能完整的蜜罐系统。分布式架构也很实用,特别适合有多个网络环境的企业。通过部署蜜罐,我们从被动防护转向了主动防御,能够更早地发现威胁,更好地了解攻击者的行为模式。这种转变对提升整体安全水平很有帮助。
# 拉取镜像
docker pull threatbook/hfish-server:latest# 运行服务
docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest
(如果显示镜像拉取不到,可以尝试下面的镜像加速地址)
{"registry-mirrors": ["https://docker.1ms.run","https://docker.1panel.live","https://hub.rat.dev","https://docker.m.daocloud.io","https://do.nark.eu.org","https://dockerpull.com","https://dockerproxy.cn","https://docker.awsl9527.cn"]
}
登陆界面:(初始登陆)
登陆地址:https://[serverIP]:4433/web/
初始用户名:admin
初始密码:HFish2021
配置数据库,选择sqlite部署:
部署成功:
首页态势感知页面:
数据大屏界面:
漏洞模拟:
节点状态:
初步的搭建,就先到这里啦。
总结
HFish是一款国产开源分布式蜜罐系统,以轻量化部署和深度威胁感知为核心优势,通过“管理端+节点端”架构实现攻击诱捕与分析闭环。其支持模拟90+类真实服务(含高交互蜜罐),结合RPC通信实现数据聚合,可快速定位扫描源、解析攻击手法,并通过可视化大屏呈现攻击趋势与溯源信息。作为企业安全防御体系的重要补充,HFish凭借国产化适配(支持龙芯/鲲鹏等国产CPU)、一键部署(Docker容器化)、多维度告警(邮件/Webhook/企业微信)等特性,显著降低失陷检测成本,尤其适用于外网威胁感知、内网失陷监控及攻防演练场景,为安全团队提供可落地的威胁情报生产和主动防御能力。
产化适配(支持龙芯/鲲鹏等国产CPU)、一键部署(Docker容器化)、多维度告警(邮件/Webhook/企业微信)等特性,显著降低失陷检测成本,尤其适用于外网威胁感知、内网失陷监控及攻防演练场景,为安全团队提供可落地的威胁情报生产和主动防御能力。
后续的使用,待我研究研究,再为大家奉上。