Mac下Hfish搭建及使用的方法

# Mac下Hfish搭建及使用的方法 ## 一、Hfish简介 Hfish是一款开源的主动防御型蜜罐系统，由长亭科技研发。它能够模拟多种常见服务（如SSH、RDP、MySQL等），诱捕攻击者行为并记录攻击数据，主要特点包括： - 轻量级部署（支持Linux/Windows/Mac） - 低交互蜜罐模拟 - 实时攻击告警 - 可视化数据分析 - 支持分布式部署 ## 二、Mac环境准备 ### 1. 系统要求 - macOS 10.15及以上版本 - 至少2GB可用内存 - 10GB可用磁盘空间 - 管理员权限（用于端口绑定） ### 2. 依赖安装 通过Homebrew安装必要组件： ```bash # 安装Homebrew（如未安装） /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" # 安装依赖工具 brew install wget docker-compose 

三、安装部署步骤

方法一：Docker方式（推荐）

# 1. 拉取镜像 docker pull threathunterx/hfish:latest # 2. 创建数据目录 mkdir -p ~/hfish/data && cd ~/hfish # 3. 下载配置文件 wget https://raw.githubusercontent.com/hack-fish/hfish/main/docker-compose.yml # 4. 启动容器 docker-compose up -d # 5. 验证运行状态 docker ps | grep hfish 

方法二：二进制方式

# 1. 下载Mac版二进制包 wget https://github.com/hack-fish/hfish/releases/download/v3.7.0/hfish-macos-amd64.tar.gz # 2. 解压安装包 tar zxvf hfish-macos-amd64.tar.gz # 3. 进入目录 cd hfish # 4. 启动服务 ./start.sh 

四、配置指南

1. 管理端配置

编辑config.ini文件：

[server] ip = 0.0.0.0 port = 4433 web_username = admin web_password = YourSecurePassword 

2. 节点配置

[node] mode = deploy server_ip = 127.0.0.1 server_port = 4433 

3. 服务模拟配置

示例SSH蜜罐配置：

services: - name: ssh_honeypot type: ssh port: 2222 banner: "SSH-2.0-OpenSSH_8.2p1" users: - username: root password: admin123 - username: test password: 123456 

五、基本使用操作

1. 访问控制台

浏览器访问：

https://localhost:4433 

2. 主要功能界面

• 仪表盘：实时攻击态势展示
• 攻击日志：详细记录攻击行为
• 蜜罐管理：服务配置开关
• 威胁情报：IP信誉库查询

3. 常用命令

# 查看服务状态 docker-compose logs -f # 停止服务 docker-compose down # 更新版本 docker-compose pull && docker-compose up -d 

六、高级功能配置

1. 邮件告警设置

[mail] enable = true server = smtp.example.com port = 587 username = alert@example.com password = YourEmailPassword sender = HFish Alert receivers = admin@example.com,sec@example.com 

2. 对接SIEM系统

通过Webhook推送告警：

{ "url": "https://your-siem.com/api/alerts", "method": "POST", "headers": { "Content-Type": "application/json", "Authorization": "Bearer YOUR_TOKEN" } } 

3. 自定义诱饵文件

在/data/trojan目录放置： - 虚假的数据库备份文件 - 伪装的配置文件 - 伪造的日志文件

七、安全加固建议

1. 网络隔离：

   # 使用macOS防火墙限制访问 sudo pfctl -ef /etc/pf.conf 

2. 定期备份：

   # 备份关键数据 tar czvf hfish_backup_$(date +%Y%m%d).tar.gz ~/hfish/data 

3. 日志轮转：

   [log] max_size = 50 backup_count = 7 

八、故障排查

常见问题处理

1. 端口冲突： “`bash

   查看端口占用

   lsof -i :4433

# 修改配置文件中端口号

 2. **容器启动失败**： ```bash # 查看详细日志 docker logs hfish-server 

1. Web界面无法访问：
   • 检查防火墙设置
   • 验证服务是否正常运行
   • 查看浏览器控制台错误

九、实际应用案例

案例1：内网扫描检测

配置HTTP蜜罐后捕获到的攻击记录：

2023-08-20 14:32:11 | 192.168.1.105 | GET /wp-admin | User-Agent: sqlmap/1.6 

案例2：暴力破解防护

SSH蜜罐记录的暴力破解尝试：

尝试登录: root/admin123 (来源IP: 45.227.253.109) 尝试登录: test/123456 (来源IP: 45.227.253.109) 

十、资源推荐

1. 官方文档： HFish GitHub Wiki

2. 社区支持：

   • 官方Telegram群组
   • GitHub Issues

3. 学习资源：

   • 《网络蜜罐技术与实践》
   • ATT&CK蜜罐技术矩阵

---

注意事项：
1. 生产环境建议部署在隔离网络
2. 定期更新到最新版本获取安全补丁
3. 蜜罐数据可能包含真实攻击信息，需妥善处理

通过本文介绍的部署方法和配置技巧，您可以在Mac系统上快速构建起一套有效的攻击检测体系。建议结合实际网络环境调整配置参数，并持续关注攻击日志进行分析研判。 “`

该文档包含： - 完整的安装部署流程 - 配置示例和截图建议位置 - 安全最佳实践 - 实际应用场景说明 - 格式规范的Markdown结构 可根据需要补充具体配置截图或更详细的操作示例。