Hfish蜜罐部署及防护经验分享

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: Hfish蜜罐部署及防护经验分享

HFISH部署及防护经验分享

一、背景

蜜罐是一种特殊的情报收集系统,能够在网络安全防护中起到诱捕的作用,从而是防守方掌握一定的主动权。

但对于蜜罐的选择和使用缺存在一定的难度,面临以下几个难点:

(一)当前市场上的付费蜜罐产品价格普遍较高,性价比不高;

(二)使用开源蜜罐可有效降低成本,但开源蜜罐选择范围广,不易甄别和选择;

(三)蜜罐部署和使用技术要求高,部署后很难有效发挥其价值。
**
二、解决思路**

(一)选择HFish开源蜜罐

HFish开源蜜罐是国人开发者在2019年的8月7日使用Python编写,上手简单,文档友好。2020年微步在线收购HFish,用Golang重构HFish蜜罐,使其成为一款跨平台多功能主动诱导型开源蜜罐框架系统,能够全程记录黑客攻击手段,实现防护自主化。

目前HFish蜜罐已在Github上获得2.6k个star,在Gitee上成为安全类目TOP5的GVP项目。

图片.png

通过对市场上蜜罐产品与开源蜜罐在成本、交互程度、上手难度等方面的综合对比,HFish开源蜜罐应为首选。

(二)部署方式

在关键信息节点(如覆盖核心区域的C类网段、VLANs或虚拟机、专用硬件设备)部署探针节点,监测探针所部署网络中的扫描探测行为,并通过绑定蜜罐将蜜罐服务映射至所部署网络中。

(1)内部办公场景:设置为监听tcp/135、139、445和3389等常见服务。

(2)内部服务器场景:设置为模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。

(三)蜜罐使用

1.监测和分析攻击者行为,使防守方掌握一定的主动权;

2.主动诱捕攻击者,并与WAF联动进行分析研判;

3.采集攻击者信息,进行IP信息溯源和社交信息溯源

4.定位攻击者,通过反向扫描攻击IP和定向鱼叉攻击实现技术反制。
**
(四)注意事项**

1.防守方应早于演练启动前,尤其是外网蜜罐,其需提前通过互联网VPS蜜罐节点发布并向FOFA等测绘平台提交资产收录申请,让蜜罐与正常资产充分混淆。

2.外网仿真蜜罐应保证真实性和诱惑性,各资产标题需要精心定制包括中文简写、英文缩写、全称等。

3.外网蜜罐为提升真实性,应避免使用无差异的系统服务和缺陷伪装服务蜜罐,迁入业务程度需要不断在实践中提高。

4.外网蜜罐与内网蜜罐应分开部署。外网蜜罐信息多且杂。分开部署有利于及时处理内网告警信息,避免攻击者内网横移后线索丢失。

5.WAF联动时要注意性能问题和可用性问题。避免在访问量较大的系统加开端口、避免使用VPN反制蜜罐、使用WAF超时自动解封功能。
**
三、案例分析
**
(一)案例1 -- 蜜罐监测到生产网异常

6月27晚,钉钉群机器人告警存在生产网异常,从告警量猜测是一次肆无忌惮地横冲直撞。

图片.png

登录蜜罐后台发现生产区域记录了大量资产探测行为。

在应急排查中,我们发现攻击源IP竟是一台硬件设备(深信服的AF防火墙),难道是0DAY吗?我们立刻加强了VLAN隔离并联系深信服驻场运维,要求尽快排查结果。

驻场运维响应很及时,发现系统在最近一次升级中,被开启了业务资产扫描策略,手动关闭该功能后问题解决。

图片.png

(二)案例2 --蜜罐监测到办公网异常

7月12日上午10点,钉钉群机器人告警某办公室内网异常,随后攻击行为甚至跨网段访问到生产网蜜罐发出多条告警信息。

图片.png

1.登录生产网蜜罐后台发现扫描来自办公室,猜测利用办公室电脑作跳板并使用VPN通向生产区域。
图片.png

2.收到告警后立即展开排查:
图片.png

3.定位到员工:
图片.png

技术人员联系了该办公室的网管,网管在现场处理中发现这是一台老旧的公共电脑,当天因为工作值班需要,再次被开机,上面安装了许多恶意流氓软件,网管为其重装系统,问题解决。

考虑到社工钓鱼越来成为主流的攻击队得分手段,我们进一步加强了该办公室蜜罐的诱捕能力并设置即时机器人提醒。

图片.png

**
四、小结**

通过以上分析,HFish开源蜜罐能够在专项工作及日常网络安全防护过程中有效支撑防守工作。利用这一特殊的情报收集系统,可获取内网高质量情报,掌握内网存在的安全隐患以及当前真实的网络安全状况。同时,结合完善部署方式和应用,能够将开源蜜罐的作用最大化。

实操附录:

外网蜜罐:

1.提前通过互联网VPS蜜罐节点发布并向FOFA等测绘平台提交资产收录申请,让蜜罐与正常资产充分混淆

2.各资产标题需要精心定制包括中文简写、英文缩写、全称等

3.注意避免在访问量较大的系统加开端口、避免使用VPN反制蜜罐、避免使用WAF自动联动

4.注意要提前报备外网节点资产,避免被兄弟单位误认为是三无七边资产

内网蜜罐:

1.内网蜜罐应分开部署,分开部署有利于及时处理内网告警信息,避免攻击者内网横移后线索丢失

2.业务仿真程度需要不断在实践中提高,避免使用无差异的系统服务和缺陷伪装服务蜜罐

3.内网蜜罐不必强求大一统的管控,使用钉钉WEBHooK通知技术,实现统一消息推送

相关文章
|
存储 运维 安全
HFish 蜜罐安装及使用
HFish 蜜罐安装及使用
4349 0
HFish 蜜罐安装及使用
|
安全 开发工具 git
CTF工具隐写分离神器Binwalk安装和详细使用方法
CTF工具隐写分离神器Binwalk安装和详细使用方法
7000 0
|
4月前
|
人工智能 运维 安全
玩转OpenClaw 13000+Skill!OpenClaw阿里云/本地部署+ClawHub Skill库选择使用指南
ClawHub作为OpenClaw(原Clawdbot)的官方Skill注册中心,已汇聚超过13000个社区贡献的技能插件,覆盖代码开发、自动化运维、内容创作、知识管理等全场景需求。这些Skill如同乐高积木,能让OpenClaw从基础AI助手,快速升级为适配特定场景的专业工具——对开发者而言,它是代码协作与部署的得力帮手;对内容创作者来说,它是多媒体生成与编辑的创意伙伴;对研究者而言,它是信息检索与知识沉淀的高效工具。
3663 3
|
安全 Linux
CentOS下载ISO镜像的方法
访问CentOS官方网站(https://www.centos.org/download/),在“Downloads”页面找到ISO镜像下载链接,选择所需版本和架构(如x86_64)开始下载。CentOS分为Linux版和Stream版,前者每两年发行一次并提供10年安全维护,后者为滚动更新。旧版本可在Vault(https://vault.centos.org/)下载。建议选择DVD格式镜像,包含完整系统和常用软件。
33464 16
CentOS下载ISO镜像的方法
|
Prometheus 运维 监控
Prometheus+Grafana+NodeExporter:构建出色的Linux监控解决方案,让你的运维更轻松
本文介绍如何使用 Prometheus + Grafana + Node Exporter 搭建 Linux 主机监控系统。Prometheus 负责收集和存储指标数据,Grafana 用于可视化展示,Node Exporter 则采集主机的性能数据。通过 Docker 容器化部署,简化安装配置过程。完成安装后,配置 Prometheus 抓取节点数据,并在 Grafana 中添加数据源及导入仪表盘模板,实现对 Linux 主机的全面监控。整个过程简单易行,帮助运维人员轻松掌握系统状态。
2560 3
ELK 圣经:Elasticsearch、Logstash、Kibana 从入门到精通
ELK是一套强大的日志管理和分析工具,广泛应用于日志监控、故障排查、业务分析等场景。本文档将详细介绍ELK的各个组件及其配置方法,帮助读者从零开始掌握ELK的使用。
|
安全 NoSQL 关系型数据库
CentOS7下搭建并体验HFish开源蜜罐系统
CentOS7下搭建并体验HFish开源蜜罐系统
1534 0
CentOS7下搭建并体验HFish开源蜜罐系统
|
缓存 网络协议 网络安全
主机虚拟机互Ping问题详解以及原理、解决互ping不通方案
主机虚拟机互Ping问题详解以及原理、解决互ping不通方案
11913 0
主机虚拟机互Ping问题详解以及原理、解决互ping不通方案
|
Web App开发 缓存 安全
解决Edge浏览器提示“此网站已被人举报不安全”
【9月更文挑战第1天】当 Edge 浏览器提示“此网站被举报为不安全”时,可尝试:关闭 Microsoft Defender SmartScreen;检查网站安全性;清除缓存和 Cookie;更新 Edge 至最新版;或使用其他浏览器。若问题依旧,联系网站管理员和技术支持。同时,避免在不可信网站输入敏感信息,保护网络安全与隐私。
4745 7