欢迎来到我的博客

��_�.📦 蜜罐识别与对抗工具包（���� 企业级 实战版） 即拿即用 · 合法授权 · 全链路覆盖 🔗 下载说明 💡 以下为完整工具包内容清单与使用指南。请将所有文件打包为 honeypot_toolkit_2026.zip ，通过安全渠道分发。 📂 一、核心工具集

1. 浏览器插件 Heimdallr（综合最强） ● 功能：识别50+蜜罐，防指纹追踪 ○ 安装：Chrome → 扩展程序 → 加载已解压的扩展程序 ○ 狗蛋蜜罐识别器（国产精品） ● 功能：支持35+平台，一键安装 ○ 安装：CSDN搜索“狗蛋蜜罐识别器”下载.crx文件 ○ Anti-Honeypot（轻量级） ● 功能：跨域JSONP拦截 ○ 安装：GitHub下载源码 → Chrome加载 ○
2. 命令行工具 pocsuite3（内置蜜罐检测） ● 192

1 pip install pocsuite3 2 python pocsuite3.py —url http://target —verify nmap（服务识别） ● 1 nmap -sV -p 22,80,443 target 📄 二、自动化脚本库

1. 蜜罐特征检测 check_honeypot.py 193

1 import requests 2 import socket 3 4 def check_hfish(url): 5 try: 6 r = requests.get(f”{url}/static/js/hfish.js”, timeout=3) 7 if “HFish” in r.text or r.status_code == 200: 8 return True 9 except: 10 pass 11 return False 12 13 def check_cowrie(ip): 14 try: 15 sock = socket.socket() 16 sock.settimeout(3) 17 sock.connect((ip, 22)) 18 banner = sock.recv(1024).decode() 19 if “SSH-2.0-Cowrie” in banner: 20 return True 21 except: 22 pass 23 return False 24 25 # 使用 26 target = “http://192.168.1.100” 27 if check_hfish(target): 28 print(”[!] HFish蜜罐 detected!”) 29 elif check_cowrie(“192.168.1.100”): 30 print(”[!] Cowrie蜜罐 detected!”) 31 else: 32 print(”[+] Not a honeypot”) 2. IP归属地检查 ip_check.py 194

1 import requests 2 3 def check_ip_location(ip): 4 try: 5 resp = requests.get(f”http://ip-api.com/json/{ip}”, timeout=5) 6 data = resp.json() 7 if data[‘country’] not in [‘China’, ‘CN’]: 8 return f”[!] IP {ip} 属于 {data[‘country’]}，疑似蜜罐！” 9 except: 10 pass 11 return ”[+] IP location normal” 12 13 print(check_ip_location(“118.24.252.213”)) 3. 端口服务扫描 port_scan.py 1 import nmap 2 3 def scan_ports(ip): 4 nm = nmap.PortScanner() 5 nm.scan(ip, ‘22,23,80,443,3306,3389’) 6 7 suspicious_ports = [22,23,80,443,3306,3389] 8 open_ports = [] 9 10 for port in suspicious_ports: 11 if nm[ip].has_tcp(port) and nm[ip][‘tcp’][port][‘state’] == ‘open’ : 12 open_ports.append(port) 13 14 if len(open_ports) >= 4: 15 return f”[!] 开放端口过多 ({open_ports})，疑似蜜罐！” 16 return ”[+] Port scan normal” 17 18 print(scan_ports(“192.168.1.100”)) 📚 三、字典与配置文件

1. 蜜罐特征库 honeypot_signatures.json 195

1 { 2 “HFish”: { 3 “http_headers”: [“Server: HFish”], 4 “js_paths”: [“/static/js/hfish.js”], 5 “keywords”: [“蜜罐”, “honeypot”] 6 }, 7 “Cowrie”: { 8 “banners”: [“SSH-2.0-Cowrie”], 9 “ports”: [22, 23] 10 }, 11 “OpenCanary”: { 12 “http_headers”: [“X-Powered-By: OpenCanary”] 13 } 14 } 2. 浏览器插件配置指南 Heimdallr 配置：

1. 下载 Heimdallr
2. Chrome → chrome://extensions/
3. 开启“开发者模式”
4. “加载已解压的扩展程序” → 选择 Heimdallr 文件夹 狗蛋蜜罐识别器配置：
5. CSDN 搜索“狗蛋蜜罐识别器”下载 .crx
6. Chrome → 拖入 .crx 文件安装
7. 默认开启，无需配置 🧪 四、实战案例库 案例 1：教育系统蜜罐识别 ● 目标： 118.24.252.213:9827 步骤： ● 196

a. IP归属地检查 → 荷兰 b. Heimdallr 检测 → 弹窗警告 c. 端口扫描 → 开放22,80,443,3306 d. 结论：HFish蜜罐 → 绕行 案例 2：内网设备蜜罐 ● 目标： 192.168.1.100 步骤： ● a. ⻚面只有登录框 b. 随便输密码都能进 c. check_hfish.py 检测 → 返回True d. 结论：HFish蜜罐 → 标记IP 🛡 五、法律声明（必读！） 本工具包仅用于 合法授权渗透测试。 严禁对非授权目标进行信息收集。 技术是盾，不是矛——用它守护，而非破坏。 🚀 使用流程图 1 1. 获取目标IP/URL 2 ↓ 3 2. IP归属地检查 4 ↓ 5 3. 浏览器插件实时防护 6 ↓ 7 4. 命令行工具深度验证 8 ↓ 9 5. 决策绕行/标记 197

✅ 排版说明：短段落 + 图标引导 + 代码块高亮 → 拒绝大段文字，操作步骤一目了然！ 🔥 真实部署建议： 将上述内容打包为 honeypot_toolkit_2026.zip ，并通过内网 HTTPS 或加密 USB 分发，确保 合规安全。 198

��_�.� 渗透测试终极手册：蜜罐识别与对抗全 解析（含工具链+实战思路） 一句话破题： 普通渗透怕WAF，高手最怕蜜罐——因为一碰就暴露！ 🔥 一、为什么蜜罐是红队的“隐形地雷”？ 💡 普通渗透看漏洞，高手先排雷——蜜罐就是蓝队埋的“数字陷阱”！ ✅ 蜜罐 vs 普通防护对氏 维度 普通防护（WAF/防火墙） 蜜罐 目的 阻止攻击 诱捕+溯源 行为 拦截请求 伪装成真实系统 ⻛险 攻击失败 身份暴露+法律⻛险 典型表现 返回403/500 返回200但功能异常 应对策略 绕过WAF规则 提前识别+绕行 🎯 真实案例：某红队成员扫描到 192.168.1.100 ，以为是内网设备，实为HFish蜜罐 → 所有IP、 浏览器指纹被记录 → 被溯源！ 📦 二、蜜罐识别全景图：3大核心阶段 199

初步判断 特征分析 工具验证 决策绕行 🔍 三、阶段1：初步判断（5秒快速筛查） ❌ 普通做法： 直接爆破/扫描 ● 忽略异常细节 ● ✅ 高级打法：

1. ⻚面特征速查 特征 说明 只有登录框无其他功能 典型低交互蜜罐 随便输密码都能进 蜜罐故意放行 ⻚面含“演示”“测试”字样 开发者未清理的蜜罐
2. 网络特征速查 特征 说明 IP归属地异常（如美国IP托管中国业务） 云蜜罐常⻅ 端口开放过多且规律（22,23,3389,5900…） 自动化部署的蜜罐 响应速度极快（<10ms） 无真实业务逻辑 💡 实战技巧：用 IP138 查IP归属地，异常立即标记！ 200

🛠 四、阶段2：特征分析（深度拆解蜜罐DNA） � HTTP响应特征 HFish： ● 1 Server: HFish 2 Set-Cookie: hfish_session=… OpenCanary： ● 1 X-Powered-By: OpenCanary � JS文件特征 HFish： ● 1 // /static/js/hfish.js 2 var HFish = { … } T-Pot： ● 1 // /assets/js/fingerprint.js 2 fingerprintjs2 = … � 端口服务特征 蜜罐类型 开放端口 服务特征 HFish 22,80,443,3306 SSH返回”SSH-2.0-HFish” Cowrie 22,23 Telnet返回”login OK” Dionaea 21,445,1433 SMB返回”Serial number:88111222” 201

✅ 优势：100% 精准，可理解蜜罐类型 ❌ 劣势：需手动分析 🧰 五、阶段3：工具验证（自动化识别） � 浏览器插件（实时防护） 插件 功能 安装方式 Heimdallr 识别50+蜜罐，防指纹追踪 GitHub下载 狗蛋蜜罐识别器 国产最强，支持35+平台 CSDN搜索 Anti-Honeypot 跨域JSONP拦截 GitHub下载 🎯 操作流程：

1. 安装插件
2. 访问目标站
3. 插件自动弹窗警告（如有蜜罐） � 命令行工具（批量扫描） 核心工具： 工具 命令示例 特点 pocsuite3 python pocsuite3.py — 内置蜜罐检测 url http://target —ver ify nmap nmap -sV -p 22,80,443 识别服务版本 target 自定义脚本 python check_hfish.py 快速验证 target 202

💡 进阶技巧：结合 ZoomEye 过滤蜜罐 1 site.edu.cn honeypot ⚔ 六、阶段4：决策绕行（红队生存法则） 🎯 高价值决策场景 场景 决策 工具 确认是蜜罐 立即停止，标记IP Heimdallr 疑似蜜罐 人工复核，不深入 浏览器DevTools 不确定 用代理/IP池试探 Tor + Burp 💣 真实案例： 某红队发现 118.24.252.213:9827 ，⻚面正常但IP属荷兰 → 用Heimdallr检测 → 确认为HFish蜜 罐 → 避免踩雷！ 🧰 七、红队必备工具箱（2026最新版）

1. 浏览器插件 Heimdallr（综合最强） ● 狗蛋蜜罐识别器（国产精品） ● Anti-Honeypot（轻量级） ●
2. 命令行工具 工具 用途 安装 pocsuite3 POC验证+蜜罐检测 pip install pocsuite3 203

nmap 服务识别 apt install nmap 自定义脚本 快速验证 ⻅下文 📜 八、法律与伦理红线 蜜罐识别必须满足：

1. 书面授权（明确包含蜜罐测试）
2. 不主动攻击蜜罐
3. 仅用于规避⻛险 ❌ 严禁： 对非授权站点使用自动化工具 ● 利用蜜罐进行反制 ● 传播蜜罐IP ● ✅ 九、终极口诀（背下来效率翻倍！） ⻚面简单要警惕， IP异常快标记； Heimdallr 护体， 狗蛋辨形保安全； 宁可慢一步， 绝不陷陷阱！ 204