蜜罐技术侧重于企业安全场景，是从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为网络安全管理员提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。此技术被广泛应用于感知办公内网、生产环境、云内网及其他环境失陷主机横向移动、员工账号外泄、扫描和探测行为、私有情报生产甚至内部演练和安全意识培训，市面上的蜜罐系统基本都具备多种告警输出形式与态感、NDR、XDR或日志平台结合，极大拓展检测视野。

虽然蜜罐技术具有很强的检测能力，但是也存在很大局限性，比如：

1.虽然蜜罐能够有助于绘制威胁环境图，但蜜罐看不到所有正在发生的事情，而只能看到针对蜜罐的活动。所以不能因为某种威胁没有针对蜜罐就以为他不存在。

2.一个好的、配置合理的蜜罐会欺骗攻击者，但如果攻击者成功将其识别为蜜罐，他们会继续攻击其他系统。

3.一旦蜜罐被“采集指纹”，攻击者有可能会以蜜罐作为进入系统的一种方式，这就是为什么蜜罐永远代替不了防火墙和其他入侵检测系统。

4.蜜罐如果做不好访问控制策略，有一定风险成为黑客入侵你内网的跳板机。

常见开源蜜罐系统

1、HFISH

HFish是北京微步在线科技有限公司推出的一款基于Golang开发的跨平台多功能主动诱导型开源蜜罐框架系统，全程记录黑客攻击手段，实现防护自主化。安全简单，易于上手，提供了一系列方便运维和管理的技术，包括：一键闪电部署、应用模块批量管理、节点服务动态调整等特性。

2、HoneyDrive

HoneyDrive是一款基于XuBuntu的开源和首选蜜罐捆绑linux操作系统，其中包含了超过10个预安装和预配置的蜜罐软件包，如kippo SSH honeypot、Dionaea和恶意软件蜜罐。此外它还包含了许多有用的预配置脚本和实用程序，用于分析、可视化和处理可捕获的数据。

3、DecoyMini

DecoyMini（智能仿真与诱捕防御工具）作为一款优秀的国产免费蜜罐系统，具备丰富的攻击诱捕和溯源分析功能。可以无缝应用到网关设备，对外部发起的网络攻击进行及时封堵。支持Linux以及Windows系统安装。

值得一提的是，DecoyMini提供了很多仿真模板，来模仿诸多不同的业务场景的漏洞平台。对于攻击者而言更具有诱惑性。

蜜罐部署及使用

以HFish蜜罐为例，操作系统为CentOS 7

联网环境，一键安装

当前HFish启动后会有两个进程，其中"hfish"进程为管理进程，负责监测、拉起和升级蜜罐主程序，"管理端"进程为蜜罐主程序进程，其执行蜜罐软件程序。 Linux版本HFish管理端数据库及配置文件都存储在 /usr/share/hfish 目录下，重装时会自动读取目录下的配置和数据。

如果您部署的环境为Linux，且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置，在使用一键脚本前，请先配置防火墙

请防火墙开启4433、4434，确认返回success（如之后蜜罐服务需要占用其他端口，可使用相同命令打开。）

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload复制失败成功

使用root用户，运行下面的脚本。

bash <(curl -sS -L https://hfish.net/webinstall.sh)复制失败成功

完成安装

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021复制失败成功

如果管理端的ip是192.168.1.1，登陆链接为：
https://192.168.1.1:4433/web/

安装完成后，HFish会自动在管理端上创建一个节点。可进行登录后，在「节点管理」列表中进行查看。

无法联网，手动安装

如果您的环境无法联网，可以尝试手动安装。

第一步：下载安装包：HFish-Linux-amd64（ Linux x86 架构 64 位系统）

按如下步骤进行安装 （以Linux 64位系统为例）：

第二步： 在当前目录创建一个路径解压安装包

mkdir hfish复制失败成功

第三步：将安装文件包解压到hfish目录下

tar zxvf hfish-3.1.4-linux-amd64.tgz -C hfish复制失败成功

第四步：请防火墙开启4433、4434和7879，确认返回success（如果有其他服务需要打开端口，使用相同命令打开。

firewall-cmd --add-port=4433/tcp --permanent   （用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   （用于节点与管理端通信）
firewall-cmd --reload复制失败成功

第五步：进入安装目录直接运行install.sh

cd hfish
sudo ./install.sh复制失败成功

第六步：登陆web界面

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021复制失败成功

如果管理端的ip是192.168.1.1，登陆链接为：
https://192.168.1.1:4433/web/

在安装完成后，HFish会自动在管理端上创建一个节点。可在节点管理进行查看。

特别注意：

如果部署节点在外网，可能会出现tcp连接超过最大连接数限制（1024个），导致其他连接被拒绝的情况。在这种情况下，可以手动放开机器tcp最大连接数。

参考解决链接
https://www.cnblogs.com/lemon-flm/p/7975812.html

参考：https://hfish.net/#/

编辑：老李