# Mac下Hfish搭建及使用的方法

## 一、Hfish简介

Hfish是一款开源的主动防御型蜜罐系统，由长亭科技研发。它能够模拟多种常见服务（如SSH、RDP、MySQL等），诱捕攻击者行为并记录攻击数据，主要特点包括：

- 轻量级部署（支持Linux/Windows/Mac）
- 低交互蜜罐模拟
- 实时攻击告警
- 可视化数据分析
- 支持分布式部署

## 二、Mac环境准备

### 1. 系统要求
- macOS 10.15及以上版本
- 至少2GB可用内存
- 10GB可用磁盘空间
- 管理员权限（用于端口绑定）

### 2. 依赖安装
通过Homebrew安装必要组件：
```bash
# 安装Homebrew（如未安装）
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

# 安装依赖工具
brew install wget docker-compose

三、安装部署步骤

方法一：Docker方式（推荐）

# 1. 拉取镜像
docker pull threathunterx/hfish:latest

# 2. 创建数据目录
mkdir -p ~/hfish/data && cd ~/hfish

# 3. 下载配置文件
wget https://raw.githubusercontent.com/hack-fish/hfish/main/docker-compose.yml

# 4. 启动容器
docker-compose up -d

# 5. 验证运行状态
docker ps | grep hfish

方法二：二进制方式

# 1. 下载Mac版二进制包
wget https://github.com/hack-fish/hfish/releases/download/v3.7.0/hfish-macos-amd64.tar.gz

# 2. 解压安装包
tar zxvf hfish-macos-amd64.tar.gz

# 3. 进入目录
cd hfish

# 4. 启动服务
./start.sh

四、配置指南

1. 管理端配置

编辑config.ini文件：

[server]
ip = 0.0.0.0
port = 4433
web_username = admin
web_password = YourSecurePassword

2. 节点配置

[node]
mode = deploy
server_ip = 127.0.0.1
server_port = 4433

3. 服务模拟配置

示例SSH蜜罐配置：

services:
  - name: ssh_honeypot
    type: ssh
    port: 2222
    banner: "SSH-2.0-OpenSSH_8.2p1"
    users:
      - username: root
        password: admin123
      - username: test
        password: 123456

五、基本使用操作

1. 访问控制台

浏览器访问：

https://localhost:4433

2. 主要功能界面

• 仪表盘：实时攻击态势展示
• 攻击日志：详细记录攻击行为
• 蜜罐管理：服务配置开关
• 威胁情报：IP信誉库查询

3. 常用命令

# 查看服务状态
docker-compose logs -f

# 停止服务
docker-compose down

# 更新版本
docker-compose pull && docker-compose up -d

六、高级功能配置

1. 邮件告警设置

[mail]
enable = true
server = smtp.example.com
port = 587
username = alert@example.com
password = YourEmailPassword
sender = HFish Alert
receivers = admin@example.com,sec@example.com

2. 对接SIEM系统

通过Webhook推送告警：

{
  "url": "https://your-siem.com/api/alerts",
  "method": "POST",
  "headers": {
    "Content-Type": "application/json",
    "Authorization": "Bearer YOUR_TOKEN"
  }
}

3. 自定义诱饵文件

在/data/trojan目录放置： - 虚假的数据库备份文件 - 伪装的配置文件 - 伪造的日志文件

七、安全加固建议

1. 网络隔离：

   # 使用macOS防火墙限制访问
   sudo pfctl -ef /etc/pf.conf
   

2. 定期备份：

   # 备份关键数据
   tar czvf hfish_backup_$(date +%Y%m%d).tar.gz ~/hfish/data
   

3. 日志轮转：

   [log]
   max_size = 50
   backup_count = 7
   

八、故障排查

常见问题处理

1. 端口冲突： “`bash

   查看端口占用

   lsof -i :4433

# 修改配置文件中端口号

2. **容器启动失败**：
   ```bash
   # 查看详细日志
   docker logs hfish-server

1. Web界面无法访问：
   • 检查防火墙设置
   • 验证服务是否正常运行
   • 查看浏览器控制台错误

九、实际应用案例

案例1：内网扫描检测

配置HTTP蜜罐后捕获到的攻击记录：

2023-08-20 14:32:11 | 192.168.1.105 | GET /wp-admin | User-Agent: sqlmap/1.6

案例2：暴力破解防护

SSH蜜罐记录的暴力破解尝试：

尝试登录: root/admin123 (来源IP: 45.227.253.109)
尝试登录: test/123456 (来源IP: 45.227.253.109)

十、资源推荐

1. 官方文档： HFish GitHub Wiki

2. 社区支持：

   • 官方Telegram群组
   • GitHub Issues

3. 学习资源：

   • 《网络蜜罐技术与实践》
   • ATT&CK蜜罐技术矩阵

---

注意事项：
1. 生产环境建议部署在隔离网络
2. 定期更新到最新版本获取安全补丁
3. 蜜罐数据可能包含真实攻击信息，需妥善处理

通过本文介绍的部署方法和配置技巧，您可以在Mac系统上快速构建起一套有效的攻击检测体系。建议结合实际网络环境调整配置参数，并持续关注攻击日志进行分析研判。 “`

该文档包含： - 完整的安装部署流程 - 配置示例和截图建议位置 - 安全最佳实践 - 实际应用场景说明 - 格式规范的Markdown结构 可根据需要补充具体配置截图或更详细的操作示例。