HFish是一款免费的社区蜜罐系统,适用于企业内网失陷检测、外网威胁感知和威胁情报生产。它具有40多种蜜罐环境、云蜜网、自定义蜜饵等功能,支持跨平台多架构部署。本文详细介绍了HFish的蜜罐概念、优势、架构、特点,以及快速部署、错误排查和使用方法,包括添加、删除节点和蜜罐,以及攻击检测和报告管理。此外,还提供了卸载和配置管理端与节点的步骤。
HFish蜜罐的介绍和简单测试
一. HFish蜜罐的介绍和简单测试(一)
0、什么是蜜罐
0.1、蜜罐的定义
蜜罐 技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务 或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获 和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
0.2、蜜罐的优势
误报少,告警准确
蜜罐作为正常业务的 “影子” 混淆在网络中,正常情况下不应被触碰,每次触碰都可以视为威胁行为。例如,在其它检测型产品中,将正常请求误判为攻击行为的误报很常见,而对于蜜罐来说,几乎不存在正常请求,即使有也是探测行为。
检测深入,信息丰富
不同于其它检测型安全产品,蜜罐可以模拟业务服务甚至对攻击的响应,完整获取整个交互的所有内容,最大深度的获得攻击者探测行为之后的N个步骤,可检测点更多,信息量更大。
例如,对于SSL加密 或工控环境,蜜罐可以轻松伪装成业务,得到完整攻击数据。
订阅专栏 解锁全文
扫一扫
707
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
