HFish 是一款开源的跨平台蜜罐系统，专为网络安全研究人员和企业安全防护设计。其核心功能包括模拟易受攻击的服务（如 FTP、HTTP、SSH 等），诱捕并记录攻击者行为，帮助用户提前发现安全威胁。以下是其主要特点：

1. 模块化设计 支持灵活扩展服务模块（如 Web 服务、数据库等），用户可自定义配置以适应不同场景。
2. 实时监控与告警 一旦检测到攻击行为（如暴力破解、恶意请求），系统会立即发送告警，便于快速响应。
3. 数据存储与分析 所有攻击数据均存储于数据库，提供可视化日志分析，帮助用户追踪攻击路径和识别威胁模式。
4. 跨平台兼容性 支持 Windows、Linux、Docker 等环境部署，提供一键安装工具，降低使用门槛。
5. 增强安全防护 内置防火墙规则和反蜜罐机制，确保自身安全性，避免被攻击者利用。

应用场景

• 企业安全：监控内网异常活动，检测潜在入侵。
• 渗透测试：作为目标系统评估防御能力。
• 威胁研究：收集新型攻击手法，优化防护策略。
• 教育训练：提供实战环境，帮助学习网络攻防技术。

HFish 以其开源性、高扩展性和易用性，成为国内知名的免费蜜罐工具，适用于从基础防护到高级威胁分析的多层次需求。用户可通过官网下载部署，或通过社区获取技术支持。

HFish部署步骤

以下为你详细介绍在不同环境下部署 HFish 蜜罐系统的步骤：

一、在 Linux 系统（以 Ubuntu 为例）上部署

1. 环境准备 确保系统已经安装了必要的依赖，可通过以下命令进行更新和安装：

sudo apt update
sudo apt install -y wget

2. 下载安装包

从 HFish 的官方 GitHub 仓库（https://github.com/hacklcx/HFish）获取最新版本的安装包，使用 wget 命令下载：

wget https://github.com/hacklcx/HFish/releases/download/v2.5.0/hfish_2.5.0_linux_x86_64.tar.gz

注意：请根据实际情况替换版本号和系统架构信息。

3. 解压安装包

使用以下命令解压下载好的安装包：

tar -zxvf hfish_2.5.0_linux_x86_64.tar.gz

4. 进入安装目录

解压完成后，进入解压生成的目录：

cd hfish_2.5.0_linux_x86_64

5. 启动 HFish

运行启动脚本启动 HFish：

./install.sh

按照提示完成安装过程，安装完成后，HFish 会自动启动。

6. 访问管理界面

打开浏览器，访问 http://服务器IP地址:9001，使用默认的用户名和密码（通常为 admin/admin）登录管理界面，进行后续配置。

二、在 Docker 环境下部署

1. 安装 Docker 和 Docker Compose

如果系统尚未安装 Docker 和 Docker Compose，可按照官方文档进行安装：

• Docker 安装：

curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

• Docker Compose 安装：

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose

2. 创建 Docker Compose 文件

创建一个名为 docker-compose.yml 的文件，并添加以下内容：

version: '3'
services:
  hfish:
    image: registry.cn-hangzhou.aliyuncs.com/hackl/hfish:2.5.0
    container_name: hfish
    restart: always
    ports:
      - "9001:9001"
      - "21:21"
      - "22:22"
      - "80:80"
      - "443:443"
      - "3306:3306"
    volumes:
      - ./data:/hfish/data

注意：请根据实际情况调整版本号和端口映射。

3. 启动容器

在 docker-compose.yml 文件所在目录下，运行以下命令启动 HFish 容器：

docker-compose up -d

4. 访问管理界面

同样，在浏览器中访问 http://服务器IP地址:9001，使用默认用户名和密码登录管理界面。

三、后续配置

无论是哪种部署方式，登录管理界面后，你都可以根据实际需求进行以下配置：

• 蜜罐服务配置：选择要开启的蜜罐服务，如 SSH、FTP、HTTP 等，并设置相应的端口和参数。
• 告警配置：配置告警方式，如邮件、短信等，以便在检测到攻击时及时收到通知。
• 数据存储配置：设置数据存储的路径和方式，确保攻击数据能够被妥善保存和分析。

四、安全注意事项

1. 隐蔽性增强：

   • 修改默认的 Web 管理端口（4433）和登录凭证。
   • 避免使用 HFish 的默认 Banner 信息（如 HFish Server），防止被攻击者识别。

2. 严格隔离：

   • 禁止蜜罐节点访问内网关键系统。
   • 使用虚拟机或容器隔离运行环境。

3. 数据保护：

   • 定期备份攻击日志到安全存储。
   • 对蜜罐中模拟的“敏感数据”进行脱敏处理（如虚假数据库账号密码）。

五、高级功能

1. 分布式部署：

   • 在多地部署多个 HFish 节点，通过 Web 控制台统一管理，构建攻击诱捕网络。

2. 与安全设备联动：

   • 将攻击者 IP 导出至防火墙（如 iptables、Cloudflare）自动封禁。
   • 集成 SIEM 系统（如 Splunk）进行深度分析。

3. 自定义钓鱼页面：

   • 在 HTTP 蜜罐中上传伪造的登录页面，捕获攻击者输入的凭证。

六、常见问题

Q1：HFish 会被攻击者识别吗？

• 可通过修改服务指纹（如 SSH 协议版本、HTTP Header）降低被识别的概率。

Q2：如何升级 HFish？

• Docker 用户：拉取最新镜像并重启容器。
• 二进制用户：替换旧版本文件，重启服务。

Q3：攻击者上传了恶意文件怎么办？

• HFish 默认隔离上传文件，可在「文件监控」中下载样本并提交沙箱分析（如 VirusTotal）。