HFish蜜标文件部署方案

HFish版本3.0.1

蜜标文件下载后，部署蜜饵所使用的7878端口不可关闭（建议使用所有蜜标主控端下发），关闭则无法收到失陷感知。

下载后的蜜标文件，向主控端发送失陷信息的地址为内网地址，无法使用。需手动更改为主控端公网地址。

蜜标被打开后，会向主控端接口/alert/token/发送失陷感知信息。发送语句为html语句，可部署于html文件，或doc文件（doc文件以html形式保存，保存后可打开更改文件内容，以增加文件真实性。更改后使用文本或notepad++打开doc文件，修改向主控发送失陷数据的语句）。

蜜标内向主控端发送失陷信息的语句为：

<link rel=Stylesheet type="text/css" media=all href="http://[ip]:7878/alert/token/~/~>	#~/~为生成蜜标文件内的接口地址

注意：此处使用http协议（非https）。

蜜标文件会暴露主控端ip，（ip与域名可通过历史dns解析，或可用dns解析查看，导致主控端暴露）以下为主控端隐藏方案。

使用一台”干净的”境外服务器，ip未曾使用带有信息泄露风险的域名解析。

将向主控端发送失陷信息的语句改为：

<link rel=Stylesheet type="text/css" media=all href="http://[ip]/api/resume/~/~">	#~/~为生成蜜标文件内的接口地址

将于境外服务器部署反相代理

server{
    listen 80;
    server_name [ip];

    location /api/resume/ {
      proxy_pass http://[ip_2]:7878/alert/token/;						#ip_2为主控端ip
      proxy_redirect off;
      proxy_set_header host $host;
      proxy_set_header x-real-ip $remote_addr;
      proxy_set_header x-forwarded-for $proxy_add_x_forwarded_for;
      proxy_set_header x-forwarded-host $server_name;
    }
}

将[ip_2]设置为主控端ip。

蜜标部署完成后，将主控端7878端口设置ip白名单，仅允许[ip]（境外服务器ip）访问。

说明

该方案仅暴露境外服务器ip地址，不影响主控端收集失陷信息，有效避免主控端泄露。

Previous蜜罐隐藏方案

Last updated 2 years ago