HFish开源蜜罐框架系统

激动的心，颤抖的手，今天就来抖一抖，平时早上我都是8点30起床，可以享受生活带来的悠闲时光。然鹅，今天早上6点30起床，因为要参加一场在中国科学技术大学西区科技楼的专家会议，主讲人是网络安全界的国家院士，会议主题是【网络靶场的7654321】上学时候后知后觉，毕业后才懂学生时代的幸福，学弟学妹们加油哇~

会议的主题如下：

• 7个层次：安全层、应用层、分析层、仿真层、目标网络层（后面是啥没有拍下来，囧）
• 6个流程：任务想定、目标网络生成、网络环境仿真、靶场设定、攻防试验、采集评估
• 5个角色：导调、管理、攻击、防御、检测
• 4个核心：攻防、训练、评测、验证
• 3个形态：内打外、内打内、外打内
• 2个虚实：网络虚实、行为虚实
• 1个标准：标准化

晚上下班前，领导说我们需要补充一个外包员工，岗位要求比较简单，有兴趣的小伙伴，可以给我发邮件，求简历，邮件地址：gt93cc（谷歌邮箱） ，标题开头为【简历】，谢谢啦~

• 工作地点：合肥，不用出差
• 待遇：不输当地任何一家外包
• 福利：下午茶，双休，团建，过节礼品，高温补助等
• 性格上踏实、靠谱、有责任心（人品ok）
• 计算机相关专业，懂基本的安全技术（会点病毒查杀）
• 负责态势感知的安全分析小组的安全事件排查（懂点溯源取证）
• 收集汇总局点的漏报、误报和确证的安全事件（核心工作）
• 对于误报事件，提出优化方案，指导研发同事校准规则（核心工作）
• 会点python编程、挖过漏洞，有红蓝对抗经验，或有CISSP证书就更好了（加分）

HFish是一款基于 Golang开发的跨平台多功能主动诱导型开源蜜罐框架系统，为了企业安全防护做出了精心的打造，全程记录黑客攻击手段，实现防护自主化。

因为是国人开发的，所以中文文档相当详细，我安装的是单机版的，只需要两步，我都有点羞愧写这篇文章，没想到安装了HFish蜜罐之后，立马就有僵尸网络光顾了，所以我觉得还是写一下，记录一下有趣的事情吧~

我在自己的服务器上搭建了蜜罐：http://96.45.188.252:9001/ （有效期：2020年，早起的鸟儿有虫吃，可以私信问我要蜜罐的登陆密码哦）

官方网址：https://hfish.io/docs/

步骤一：下载对应的二进制安装包，到ubuntu16.04中

我下载的是低版本的，然后解压，对db文件设置权限：chmod 777 db

步骤二：以守护进程方式运行程序：nohup ./HFish run &

访问web页面的9001端口，就可以看到蜜罐系统的登陆页面了，当然你可以在config.ini里面配置登陆密码哦，记得修改一下，密码长度设置12位，防止后台被暴力破解了。

默认密码是admin：admin，登陆网站之后，我们可以看到8个蜜罐：

• SSH蜜罐（已经捕获127个僵尸网络）
• Redis蜜罐（已经捕获8个僵尸网络）
• MySQL蜜罐（已经捕获110个僵尸网络）
• FTP蜜罐
• MemCache蜜罐
• Telnet蜜罐（已经捕获43个僵尸网络）
• Web蜜罐
• Deep蜜罐

可以通过列表的方式，按照时间顺序查看所有蜜罐的攻击者详情，

这里如果加上情报API，搭配攻击者画像，就完美了~

支持展示24小时内的趋势图，

可以看到蜜罐捕获僵尸网络的爆发时刻是14点，

支持展示攻击地区Top10的饼图和攻击IP Top10的饼图，

可以看到攻击来源最多的是美国和韩国，

恶意IP占比最高的是123.199.86.252，

微步在线情报显示是来自【韩国】的恶意【僵尸网络】，

最近发现，蜜罐总是无缘无故的挂掉，这让我很苦恼。想了一个法子，就是对进程进行监控，写了一个简单的shell程序，执行这个shell程序，如果HFish进程存在就啥也不干，如果HFish进程不存在，就把它拉起来，测试了一下非常良好。

#/bin/sh
source /etc/profile
cd /home/HFish-0.3.1-linux-amd64/;

touch run.txt;
if [ $(ps -ef | grep -c "./HFish") -ge 1];then
  touch sing.txt;
else
  touch sed.txt;
  nohup ./HFish run &
fi

再把这个监控程序，放到linux的定时任务里面去，这样每分钟就会执行一次判断，如果HFish进程不在了，那么监控就会把它拉起来，这样就可以完美的收集僵尸主机了。

完。