20 / 30 / 40 / 50 四个网段作战思路总结
一、整体战术
我们的整体思路不是单纯放几个蜜罐,而是做一个分层诱导、分流拖延、行为记录的欺骗防御体系。
20 网段作为主战场,负责吸引红队第一波注意力;
30 / 40 / 50 作为分流战场,分别把红队引向数据库、运维平台、文件凭证三个方向;
本地 Docker 服务负责制造真实感;
HFish 模板负责统一记录攻击行为。
红队越扫描、越登录、越尝试连接数据库和 Redis,就越会留下日志。我们的目标是拖住红队、误导路径、收集行为、辅助研判和溯源。
二、20 网段:主诱捕区 / 主战场
节点:10.0.20.105
定位:主入口、高价值入口、Web + DevOps + 容器链
作用:吸引红队第一波注意力
已有服务:
– edge-nginx:10.0.20.105:443
– internal-web:容器内部 8443
– HFish Client:7879
HFish 模板:
– HTTP代理蜜罐:10002
– SSH蜜罐:10023
– MySQL蜜罐:33061
– Redis蜜罐:6379
战术目的:
20 是主战场,让红队第一眼觉得这里是核心入口。它负责吸引 Web、HTTPS、反向代理、容器、DevOps 方向的探测行为。红队如果优先打入口服务、Web 服务、代理服务,就会先在 20 留下行为日志。
三、30 网段:数据库诱捕区
节点:10.0.30.103
定位:数据库服务区
作用:拖数据库方向的人
本地 Docker 诱捕服务:
– Web:10001
– SSH:10022
– MySQL:33060
– Redis:63790
HFish 模板:
– HTTP代理蜜罐:10002
– SSH蜜罐:10023
– MySQL蜜罐:33061
– Redis蜜罐:63791
诱饵凭证:
– SSH:opsadmin / Admin@2026
– MySQL:devops / Devops@2026
– Redis:Redis@2026
战术目的:
30 负责吸引喜欢打数据库的人。红队如果扫描 MySQL、Redis、Elasticsearch、PostgreSQL、数据库备份、弱口令、未授权访问,就会被引到 30。这里主要收集数据库爆破、Redis 探测、MySQL 登录尝试、弱口令字典行为和工具特征。
四、40 网段:运维管理 / DevOps 诱捕区
节点:10.0.40.106
定位:运维管理区、DevOps、云原生方向
作用:拖 Jenkins / GitLab / Harbor / Grafana / Prometheus / Nacos 方向的人
本地 Docker 诱捕服务:
– Web:10001
– SSH:10022
– MySQL:33060
– Redis:63790
HFish 模板:
– HTTP代理蜜罐:10002
– SSH蜜罐:10023
– MySQL蜜罐:33061
– Redis蜜罐:63791
诱饵凭证:
– SSH:sysadmin / Ops@4040
– MySQL:appuser / App@4040
– Redis:Cache@4040
伪装方向:
– Jenkins
– GitLab
– Harbor / Registry
– Grafana
– Prometheus
– Nacos
战术目的:
40 负责吸引 DevOps / 云原生方向的红队。红队如果关注 CI/CD、代码仓库、镜像仓库、监控平台、配置中心,就会被引到 40。它让红队误以为这里有流水线凭证、镜像仓库账号、Kubernetes 配置、监控系统入口和 Nacos 配置。
五、50 网段:文件 / 凭证 / 横向移动诱捕区
节点:10.0.50.105
定位:办公文件、运维共享、凭证收集区
作用:拖横向移动和凭证收集方向的人
本地 Docker 诱捕服务:
– Web:10001
– SSH:10022
– MySQL:33060
– Redis:63790
HFish 模板:
– HTTP代理蜜罐:10002
– SSH蜜罐:10023
– MySQL蜜罐:33061
– Redis蜜罐:63791
诱饵凭证:
– SSH:opsuser / Ops@5050
– MySQL:dbuser / Db@5050
– Redis:Cache@5050
伪装方向:
– 共享目录
– VPN 配置
– SSH 私钥
– 资产清单
– 备份包
– 运维文档
– 内部系统说明
战术目的:
50 负责吸引喜欢找文件和凭证的人。红队如果习惯翻配置文件、找 SSH 私钥、找 VPN 配置、找资产清单、找备份包,就会被引到 50。这里主要记录文件探测、凭证尝试、SSH 登录、数据库连接和横向移动迹象。
六、本地 Docker 服务和 HFish 模板的区别
本地 Docker 服务端口:
– Web:10001
– SSH:10022
– MySQL:33060
– Redis:63790
作用:
制造真实感。红队可以真的访问、登录、连接,但是进入的是隔离诱饵环境,不是宿主机,不是真实业务。
HFish 模板端口:
– HTTP代理:10002
– SSH:10023
– MySQL:33061
– Redis:63791
– 特殊:20 节点 Redis 使用 6379
作用:
统一记录攻击行为。红队打这些端口,会进入 HFish 攻击列表,记录来源 IP、攻击类型、尝试账号密码、访问时间和攻击次数。
七、权限保护思路
我们给红队的是可用的假凭证,不是真实权限。
红队可以:
– 登录诱饵 SSH 容器
– 连接诱饵 MySQL
– 访问诱饵 Redis
– 触发 HFish 日志
红队不能:
– 获取 yxwa 密码
– 获取 root 密码
– 进入宿主机真实系统
– sudo 提权
– 读取真实业务数据
– exit 到宿主机 shell
SSH 诱饵账号进去的是 Docker 容器,不是宿主机。谁从哪台机器 SSH 进去,exit 后就回到谁自己的机器。红队从 Kali 进去,exit 后回到 Kali,不会回到我们的 yxwa 宿主机。
八、整体作战路径
20:主战场,吸引第一波注意力
30:数据库方向分流
40:DevOps / 云原生方向分流
50:凭证文件 / 横向移动方向分流
红队不同习惯会被分流到不同区域:
喜欢打 Web / 容器入口 → 20
喜欢打 MySQL / Redis / 数据库 → 30
喜欢打 Jenkins / GitLab / Harbor / Nacos → 40
喜欢找私钥 / VPN / 资产清单 / 备份包 → 50
九、最终目标
这套部署的目的不是阻止一次扫描,而是:
1. 让红队进入我们设计的假路径
2. 让红队误判资产价值
3. 让红队消耗时间
4. 让红队暴露攻击工具和行为习惯
5. 让 HFish 收集完整攻击日志
6. 让蓝队可以根据日志做研判、溯源和处置
十、一句话总结
20 是主战场,用来吸引红队第一波注意力;
30 是数据库诱捕区,用来拖数据库方向的人;
40 是运维管理诱捕区,用来拖 DevOps / 云原生方向的人;
50 是文件凭证诱捕区,用来拖横向移动和凭证收集方向的人。
本地 Docker 服务负责制造真实感,HFish 模板负责记录攻击行为。红队可以进入假服务,但不能碰宿主机、不能拿 root、不能拿真实数据。整体目标是诱导、拖延、记录、研判和溯源。