HFish 支持docker部署的一款社区型免费蜜罐

HFish设计理念

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

HFish支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、安全产品、无线AP、交换机/路由器、邮件系统、IoT设备等90多种蜜罐服务、支持用户制作自定义低交互Web蜜罐、支持将本地攻击流量牵引到免费的云端蜜网、支持全端口扫描感知能力、支持可自定义的蜜饵配置、一键部署、跨平台多架构，支持Linux x32/x64/ARM、Windows x32/x64平台和多种国产操作系统、支持龙芯、海光、飞腾、鲲鹏、腾云、兆芯等国产CPU、极低的性能要求、支持邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。

在线Demo环境

百闻不如一见！您可以随时登录HFish的Demo环境，快速浏览HFish的能力：

预览地址：https://demo.hfish.net:4433/web/
用户：hfishguest
密码：HFish2021

如何安装

用户需要先部署管理端，再通过管理端部署新节点或直接使用管理端内置的节点：

Linux AMD x86/64 管理端下载
https://hfish.net/#/linux

Linux ARM x86/64 管理端下载
https://hfish.net/#/linux

Windows x86/64 管理端下载
https://hfish.net/#/windows

Docker Linux x86/64 管理端镜像下载
https://hfish.net/#/docker

文档下载

由于大量社区用户商业使用阶段需要，我们提供以下简单文档：

文档 文档内容 文件下载地址
HFish部署方案 包含HFish推荐部署方式，推荐服务器大小，最佳实践方案等 HFish部署方案
HFish处置手册 包含内外网场景下的推荐配置，告警列表的详细解释，处置方案等。 HFish处置手册
为什么选择HFish
免费、简单、安全的蜜罐产品
蜜罐通常被定义为具有轻量级检测能力、低误报率的检测产品，同时它也是企业生产本地威胁情报的优质来源之一。HFish可以帮助企业用户在日常安全运营中进行避免告警洪水、低成本的增加威胁感知和情报生产能力。目前，社区的力量正在不断帮助HFish完善自身，共同探索欺骗防御的最佳实践。

安全、敏捷的威胁感知节点

HFish被广泛应用于感知办公内网、生产环境、云内网及其他环境失陷主机横向移动、员工账号外泄、扫描和探测行为、私有情报生产甚至内部演练和安全意识培训，HFish的多种告警输出形式与态感、NDR、XDR或日志平台结合，极大拓展检测视野。

HFish架构

HFish采用B/S架构，HFish由三部分组成，分别是：管理端（server）、节点端（client）和蜜罐（pot）组成，管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务和回传数据，蜜罐负责承受攻击。HFish各模块关系图如下：

蜜罐基础知识

蜜罐的定义

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务 或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的优势

误报少，告警准确
蜜罐作为正常业务的 "影子" 混淆在网络中，正常情况下不应被触碰，每次触碰都可以视为威胁行为。例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎不存在正常请求，即使有也是探测行为。

检测深入，信息丰富

不同于其它检测型安全产品，蜜罐可以模拟业务服务甚至对攻击的响应，完整获取整个交互的所有内容，最大深度的获得攻击者探测行为之后的N个步骤，可检测点更多，信息量更大。

例如，对于SSL加密或工控环境，蜜罐可以轻松伪装成业务，得到完整攻击数据。

主动防御，预见未来，生产情报

在每个企业，几乎每分钟都在发生这样的场景：潜伏在互联网角落中的攻击者发起一次攻击探测，防守方业务不存在安全漏洞，IDS告警后事情就不了了之了。

而应用蜜罐型产品后，转换为主动防御思路：蜜罐响应了攻击探测，诱骗攻击者认为存在漏洞，进而发送了更多指令，包括从远端地址下载木马程序，而这一切不仅被完整记录下来，还可以转化为威胁情报供给传统检测设备，用于在未来的某个时刻，准确检测主机失陷。

可以发现，转换为主动防护思路后，威胁检测由针对单次、多变的攻击上升到应用威胁情报甚至TTPs检测。

环境依赖少，拓展视野

由于是融入型安全产品，蜜罐不需要改动现有网络结构，并且很多蜜罐是软件形态，对各种虚拟和云环境非常友好，部署成本低。

蜜罐可以广泛部署于云端和接入交换机下游末梢网络中，作为轻量级探针，将告警汇聚到态势感知或传统检测设备中分析和展示。

蜜罐与情报

显而易见蜜罐是非常准确、稳定和恰当的情报感知探针。

蜜罐最大的价值是诱使攻击者展示其能力和资产，再配合误报少，信息丰富等一系列优势，配合态势感知或本地情报平台可以稳定生产私有威胁情报。