威胁情报开源示例：ip_list

honeypot-blocklist 项目地址

规划

蜜罐（Honeypot）最核心的特点是：没有任何正常的业务流量会访问它。因此，凡是进入蜜罐的数据，本质上都是“可疑”或“恶意”的。这使得蜜罐收集到的数据具有极高的信噪比（高保真）。

蜜罐可以捕获攻击者的基础信息，将其转化为入侵指标（IOCs）：

• 攻击源 IP 地址：识别攻击者来自哪里（国家、ASN、代理池）。
• 恶意哈希值（File Hash）：上传的恶意软件的 MD5/SHA256。
• 恶意域名/URL：恶意软件回连的 C2（命令与控制）服务器地址。
• 用途：将这些数据实时同步给防火墙（FW）、WAF 或入侵检测系统（IDS），实现“一处被攻，全网封禁”。

本文即是实现将Hifsh蜜罐获得的攻击信息，通过使用其自带的 API 接口进行自动化提取，并利用 GitHub/Gitee Pages 进行分发。（提取简单的攻击源 IP 地址为例）

架构设计

1. 数据源：部署在内网或公网的 HFish 蜜罐。

   部署教程：云服务器搭建HFish蜜罐全流程

2. 处理中心：一个运行 Python 脚本的中间服务器（可以是 HFish 本机）。

3. 发布平台：GitHub 或 Gitee（利用其 Pages 服务托管静态文本文件）。（ GitHub ）

4. 最终产物：一个公网可访问的 URL（例如 https://yuexuan521.github.io/honeypot-blocklist/ip_list.txt）。

第一步：准备 HFish API

HFish 提供了 API 用于获取攻击数据。

1. 登录 HFish 管理后台。
2. 进入 “系统设置” -> “API 设置”。
3. 获取 API Key 和 管理端地址。
   • 注意：如果你的 HFish 在内网，确保运行脚本的机器能访问到 HFish 的管理端口（默认 4433）。

第二步：编写自动化提取脚本 (Python)

我们需要编写一个 Python 脚本，完成“拉取数据 -> 过滤白名单 -> 格式化 -> 写入文件”的动作。

在 HFish 服务器或能访问 HFish 的机器上创建 /root/generate_feed.py：（需修改HFISH_HOST、API_KEY、OUTPUT_TXT的值，第10行）

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134

import requests
import json
import ipaddress
import urllib3
import time
import sys
from datetime import datetime, timedelta

# ================= 配置区 =================
HFISH_HOST = "https://IP:4433"                       # !!填写你的Hish网址!!
API_KEY = ""                                         # !!填写你的Hish API Key!!
OUTPUT_TXT = "/root/threat-feed/ip_list.txt"         # !!填写你保存文件的地址!!
TIME_WINDOW_HOURS = 24 

LOCAL_WHITELIST = [
    "127.0.0.1", "192.168.0.0/16", "10.0.0.0/8", "172.16.0.0/12",
    "8.8.8.8", "1.1.1.1", "60.204.200.232"
]
WHITELIST_URLS = {
    "bing": "https://www.bing.com/toolbox/bingbot.json",
    "github": "https://api.github.com/meta"
}
# =========================================

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

class WhitelistManager:
    def __init__(self):
        self.whitelist_cidrs = []
        for ip in LOCAL_WHITELIST:
            try:
                self.whitelist_cidrs.append(ipaddress.ip_network(ip, strict=False))
            except: pass

    def fetch_remote_whitelists(self):
        print("[-] Fetching remote whitelists...")
        for name, url in WHITELIST_URLS.items():
            try:
                resp = requests.get(url, timeout=10)
                if resp.status_code == 200:
                    data = resp.json()
                    prefixes = []
                    if "prefixes" in data: prefixes = [p.get("ipv4Prefix") for p in data["prefixes"]]
                    elif "web" in data: prefixes = data.get("web", [])
                    for p in prefixes:
                        if p and "." in p:
                            self.whitelist_cidrs.append(ipaddress.ip_network(p))
            except: pass

    def is_whitelisted(self, ip_str):
        try:
            target = ipaddress.ip_address(ip_str)
            for network in self.whitelist_cidrs:
                if target in network: return True
        except: pass
        return False

def get_data():
    url = f"{HFISH_HOST}/api/v1/attack/ip?api_key={API_KEY}"
    end_time = int(time.time())
    start_time = 0 if TIME_WINDOW_HOURS == 0 else int(end_time - (TIME_WINDOW_HOURS * 3600))
    
    payload = {
        "start_time": start_time,
        "end_time": end_time,
        "intranet": 0,
        "threat_label": []
    }
    
    try:
        resp = requests.post(url, json=payload, headers={'Content-Type': 'application/json'}, verify=False, timeout=20)
        return resp.json()
    except Exception as e:
        print(f"[!] Request Error: {e}")
        return None

def main():
    wl = WhitelistManager()
    wl.fetch_remote_whitelists()
    
    result = get_data()
    if not result: return

    raw_ips = []
    
    if 'data' in result:
        data_content = result['data']
        print(f"[-] API Response Keys: {data_content.keys() if isinstance(data_content, dict) else 'List Type'}")
        
        if isinstance(data_content, list):

            raw_ips = data_content
        elif isinstance(data_content, dict):

            if 'attack_ip' in data_content:
                raw_ips = data_content['attack_ip']
            elif 'list' in data_content:
                raw_ips = data_content['list']
            else:
                print("[!] Error: Unknown dict structure in 'data'")
                print(data_content) # 打印出来看看
    else:
        print(f"[!] Error: No 'data' field. keys: {result.keys()}")

    print(f"[-] Raw IPs found: {len(raw_ips)}")


    clean_ips = set()
    for item in raw_ips:
        ip = None

        if isinstance(item, str):
            ip = item

        elif isinstance(item, dict):
            ip = item.get('source_ip') or item.get('ip') or item.get('attack_ip')
            

        if ip and "." in ip and "attack_ip" not in ip:
            if not wl.is_whitelisted(ip):
                clean_ips.add(ip)

    print(f"[-] Final Unique IPs: {len(clean_ips)}")


    with open(OUTPUT_TXT, 'w') as f:
        f.write(f"# HFish Threat Feed\n")
        f.write(f"# Updated: {datetime.now()}\n")
        for ip in clean_ips:
            f.write(f"{ip}\n")
    print(f"[-] Saved to {OUTPUT_TXT}")

if __name__ == "__main__":
    main()

第三步：建立开源仓库 (GitHub/Gitee)

1. 在 GitHub 上创建一个新仓库，例如 honeypot-blocklist。
2. 在你的服务器上安装 Git，并克隆该仓库。（yourusername改成你的用户名）

1
2
3

# 在服务器上操作
cd /root/
git clone https://github.com/yourusername/honeypot-blocklist.git threat-feed

修改上面的 Python 脚本配置，将输出路径指向这个 Git 目录。

第四步：自动化更新与推送 (Shell + Crontab)

1、编写自动化 Shell 脚本

编写一个 Shell 脚本 update_feed.sh，将“生成”和“推送”结合起来：

1. 创建脚本文件：

   1	vim /root/update_feed.sh

2. 写入以下内容：（需修改git user.name和user.email，推荐 ✅使用 GitHub 提供的隐私邮箱）

   GitHub隐私邮箱特点：既能保护你的真实邮箱不泄露，又能让 GitHub 识别出这是你的账号，给你的 GitHub 贡献墙（Contributions Graph）加“绿格子”。

   1. 登录 GitHub，进入 Settings（设置） -> Emails。
   2. 勾选 “Keep my email addresses private”。
   3. 你会看到一个类似这样的邮箱：12345678+你的用户名@users.noreply.github.com。
   

   配置方法：（修改5. 配置 Git 身份）

   1 2	git config user.name "你的GitHub用户名" git config user.email "12345678+你的用户名@users.noreply.github.com"

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

   #!/bin/bash # ================= 配置路径 ================= PY_SCRIPT="/root/generate_feed.py" GIT_REPO="/root/threat-feed" LOG_FILE="/var/log/hfish_feed.log" # =========================================== echo "-----------------------------------------------------" >> $LOG_FILE echo "[$(date)] Starting update process..." >> $LOG_FILE # 1. 进入 Git 仓库目录 (这一步必须最先做) cd $GIT_REPO || { echo "[Error] Cannot cd into $GIT_REPO" >> $LOG_FILE; exit 1; } # 2. 【新增】先拉取远程更新 (防止 Push 冲突) # 这一步会把你在 GitHub 网页上改的 README 同步到本地 echo "[-] Pulling remote changes..." >> $LOG_FILE if git pull origin main >> $LOG_FILE 2>&1; then echo "[Info] Git pull successful." >> $LOG_FILE else # 如果 pull 失败（极少见），通常是因为冲突，记录日志但不退出，尝试强制覆盖 echo "[Warn] Git pull failed (Conflict?). Will try to push anyway." >> $LOG_FILE fi # 3. 执行 Python 提取 IP # 注意：即使 git pull 失败了，我们也要生成新数据，因为数据才是核心 /usr/bin/python3 $PY_SCRIPT >> $LOG_FILE 2>&1 # 4. 检查文件是否生成 if [ ! -f "ip_list.txt" ]; then echo "[Error] ip_list.txt missing. Python script failed?" >> $LOG_FILE exit 1 fi # 5. 配置 Git 身份 git config user.name "" //!!填写你的name和email!! git config user.email "" # 6. 提交并推送 git add . if git commit -m "Auto update: $(date "+%Y-%m-%d %H:%M")" >> $LOG_FILE 2>&1; then echo "[Info] Changes committed." >> $LOG_FILE # 尝试推送 if git push origin main >> $LOG_FILE 2>&1; then echo "[Success] Pushed to GitHub." >> $LOG_FILE else echo "[Error] Git Push failed. Retrying with --force..." >> $LOG_FILE # 如果普通推送失败，尝试强制推送 (慎用，但在这种只增不减的情报源场景下是可行的) # git push -f origin main >> $LOG_FILE 2>&1 fi else echo "[Info] No changes detected. Nothing to push." >> $LOG_FILE fi

3. 赋予执行权限：

   1	chmod +x /root/update_feed.sh

2、配置 SSH 免密推送（关键！）

自动化脚本在后台运行时，无法输入 GitHub 的账号密码。你必须配置 SSH Key。

1. 检查是否已有 Key：

   1	ls ~/.ssh/id_rsa.pub

   • 如果有文件，跳过第2步。
   • 如果没有（报错），执行第2步。

2. 生成 Key（一路回车即可）：

   1	ssh-keygen -t rsa -b 4096 -C "hfish-feed"

3. 获取公钥：

   1	cat ~/.ssh/id_rsa.pub

   • 复制输出的内容（以 ssh-rsa 开头的一长串）。

4. 上传到 GitHub：

   • 打开 GitHub 仓库 -> Settings -> Deploy keys -> Add deploy key。

     

   • Title: HFish Server

   • Key: 粘贴刚才的内容。

   • 重要：勾选 Allow write access（允许写入权限），否则无法推送！

     

5. 手动测试连接（必须做一次！）： 在服务器执行：

   1	ssh -T git@github.com

   • 输入 yes 确认指纹。
   • 如果看到 Hi <username>/<repo>! You’ve successfully authenticated…，说明通了。

6. 修改仓库地址为 SSH（如果你之前是用 HTTPS clone 的）： 进入目录检查：

   1 2	cd /root/threat-feed git remote -v

   • 如果显示 https://github.com/…，请执行：

     1	git remote set-url origin git@github.com:你的用户名/你的仓库名.git

3、手动测试全流程

现在我们手动运行一次 Shell 脚本，看看能不能成功推送。

1

/root/update_feed.sh

检查结果：

1. 看日志：tail -f /var/log/hfish_feed.log
2. 看 GitHub 网页：刷新你的仓库，看看 ip_list.txt 更新时间是不是变成了 “Just now”。

4、设置定时任务 (Crontab)

确认手动运行没问题后，最后一步是让它自动跑。我们设置为 每 2 小时更新一次（既保证新鲜度，又不浪费资源）。

1. 编辑定时任务：

   1	crontab -e

2. 在文件末尾添加一行：

   1 2	# 每 2 小时的第 5 分钟执行一次 (错峰执行) 5 */2 * * * /bin/bash /root/update_feed.sh

3. 保存退出（如果是 vim，按 Esc 输入 :wq 回车）。

第五步：开源给他人使用

现在，你的 GitHub 仓库中会有 ip_list.txt。你需要开启 GitHub Pages 功能（在仓库 Settings -> Pages 中开启）。

1. 进入该仓库的 Settings (设置)。
2. 在左侧侧边栏找到 Pages。
3. 在 Build and deployment 下的 Source 选择 Deploy from a branch。
4. 在 Branch 处选择 main (或 master) 分支，文件夹选择 / (root)。
5. 点击 Save。

一旦开启，你就得到了一个全球可访问的永久直链，例如： https://yourusername.github.io/honeypot-blocklist/ip_list.txt

等待 1-2 分钟后，GitHub 会生成页面，别人只需要订阅这个以 .txt 结尾的 URL 即可。

别人可以这样使用我们的数据：

1. PaloAlto/Fortinet 防火墙：创建一个 “External Dynamic List”，填入你的 URL。
2. Linux 服务器：写个脚本 wget 你的文件并导入 ipset。

效果展示：

HFish蜜罐官网：https://hfish.net/#/

蜜罐基础知识

蜜罐的定义

蜜罐是一种主动防御的欺骗技术，其核心思想是通过部署虚假的主机、服务或信息作为诱饵，诱导攻击者实施攻击。在此过程中，蜜罐能够记录攻击行为、分析攻击手法与工具，并推断攻击者的意图，从而帮助防御方更清晰地识别威胁，并针对性地提升真实系统的安全防护能力。[蜜罐技术_百度百科]

蜜罐的优势

1. 误报率低，告警精准由于蜜罐本身不承载真实业务，正常情况下不应被访问，因此任何对其发起的连接或探测行为都具有较高的可疑性。相较于传统检测设备容易将正常业务请求误判为攻击的情况，蜜罐几乎不会产生误报，能够实现高度可信的安全告警。
2. 深度交互，信息全面蜜罐可模拟多种业务服务甚至对攻击做出合理响应，从而与攻击者进行深度交互。这使得蜜罐能够获取从初始探测到后续攻击链的完整数据，实现对攻击行为的全流程捕获。尤其在SSL加密通信或工业控制等特殊场景中，蜜罐可有效伪装为目标系统，获取非解密的原始攻击载荷。
3. 主动诱捕，生成威胁情报传统防护往往在攻击探测阶段即告结束，而蜜罐则能主动吸引攻击者深入交互，如诱使其上传恶意工具、连接C2服务器等。这些行为不仅被完整记录，还可进一步提取为高质量的本地威胁情报，赋能于IDS、防火墙等其他安全设备，实现对特定攻击手法（TTPs）的持续检测与预警。[一篇文章带你搞懂蜜罐-先知社区]
4. 部署灵活，扩展性强蜜罐通常以软件形态存在，无需调整现有网络结构，即可灵活部署于物理网络、云环境或边缘节点。其轻量化的特性使其能够作为探针广泛分布于网络末端，将安全事件统一上报至态势感知平台，实现对全网威胁的可视化监控。

蜜罐与威胁情报

蜜罐是高质量威胁情报的稳定来源。通过诱使攻击者暴露其攻击工具、基础设施与行为模式，结合其误报率低、信息详实的特性，蜜罐能够持续产出精准的私有威胁情报。这些情报可整合至本地安全分析平台，有效提升对新型攻击的预见性与防护能力。

安装HFish蜜罐

如果部署的环境为Linux，且可以访问互联网，强烈建议使用一键部署脚本进行安装和配置，在使用一键脚本前，请先配置防火墙。

其它版本（及无网环境）安装指南：https://hfish.net/#/quick-deploy

配置防火墙

以root权限运行以下命令，确保配置防火墙开启TCP/4433、TCP/4434

1
2
3

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload

可能提示需要开启防火墙，使用如下命令：

1
2
3

systemctl status firewalld
systemctl start firewalld
systemctl status firewalld

一键部署HFish蜜罐

以root权限运行以下一键部署命令，输入“1”，安装并运行。

1

bash <(curl -sS -L https://hfish.net/webinstall.sh)

出现下面提示，表示成功安装。

安装MySQL

使用 yum 安装

首先，尝试一下直接使用 yum 安装 MySQL

1

yum install mysql-community-server

安装过程中，会提示让我们确认，一律输入 y 按回车即可

如果出现以下错误：

1
2
3

Loading mirror speeds from cached hostfile
没有可用软件包 mysql-community-server。
错误：无须任何处理

表示我们没有添加安装包的源信息，需要安装 MySQL rpm 源信息

安装 MySQL rpm 源信息

打开 http://dev.mysql.com/downloads/repo/yum/

根据你的系统版本，选择对应的安装包，例如我的是CentOS 7.5，这个系统的Linux内核是 Linux 7，所以我选择了红框内的地址，大家依次类推。

拼接下载地址头：http://dev.mysql.com/get/，得到以下地址

1
2
3
4

 CentOS 7
 http://dev.mysql.com/get/mysql80-community-release-el7-7.noarch.rpm
 CentOS 8
 http://dev.mysql.com/get/mysql84-community-release-el8-2.noarch.rpm

使用 wget + 刚才拼接的地址，下载安装包源信息

1
2
3
4

CentOS 7
wget  http://dev.mysql.com/get/mysql80-community-release-el7-7.noarch.rpm
CentOS 8
wget http://dev.mysql.com/get/mysql84-community-release-el8-2.noarch.rpm

rpm 安装源信息

1
2
3
4

CentOS 7
rpm -ivh mysql80-community-release-el7-7.noarch.rpm
CentOS 8
rpm -ivh mysql84-community-release-el8-2.noarch.rpm

禁用 MySQL 模块

如果还是出现错误，需要禁用默认启用的 MySQL 模块。

1

yum module disable mysql

再次安装

再尝试使用 yum 安装MySQL

1

yum install mysql-community-server

安装过程中，会提示让我们确认，一律输入 y 按回车即可

检查安装是否成功

检查一下刚才的安装是否成功

1

rpm -qa | grep mysql

输出：

1
2
3
4
5
6
7
8

mysql-community-libs-compat-8.0.33-1.el7.x86_64
mysql-community-icu-data-files-8.0.33-1.el7.x86_64
mysql80-community-release-el7-7.noarch
mysql-community-common-8.0.33-1.el7.x86_64
mysql-community-libs-8.0.33-1.el7.x86_64
mysql-community-server-8.0.33-1.el7.x86_64
mysql-community-client-8.0.33-1.el7.x86_64
mysql-community-client-plugins-8.0.33-1.el7.x86_64

输出类似以上内容，表示安装完成

登录和修改密码

我们安装的时候，并没有设置初始密码

所以 mysql 在第一次启动的时候，会自动初始化一个密码

通过以下这行代码，我们可以查看 mysql 自动初始化的密码：

1
2
3
4
5
6

# 第一次启动后，可以查看mysql初始化密码
grep 'temporary password' /var/log/mysqld.log

输出（root@localhost: 后面的是密码）：
2023-04-21T06:03:27.071550Z 6 [Note] [MY-010454] [Server] A temporary password
is generated for root@localhost: r2to%yZ%a)%s

登录

1
2

# 登录mysql，一定要注意：-p和'密码'之间是没有空格的
mysql -u root -p'r2to%yZ%a)%s'

修改 root 密码

注意了，默认的密码策略，需要：大写英文 + 特殊字符 + 数字

1

ALTER USER 'root'@'localhost' IDENTIFIED BY 'Root_123';

创建需要的HFish数据库

1
2

CREATE DATABASE HFish001;
show databases;

登录Web界面

华为云服务器需要添加一条安全组规则，允许访问4433端口

完成安装后，通过以下网址、账号密码登录

1
2
3

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021

如果管理端的IP是192.168.1.1，则登陆链接为：https://192.168.1.1:4433/web/

1

注意：访问管理端的URL中必须有/web/目录

初次配置需要选择数据库，端口默认3306，数据库名：HFish001，用户名密码为MySQL的数据库密码

配置成功，等待重启

看到下方的管理界面

配置蜜罐服务

选择“节点管理”，可以配置蜜罐服务

华为云服务器需要相应添加安全组规则，开放端口

CentOS内的firewall也需要开放相应端口

1
2
3
4
5

安全组规则：8080,9215,6379,9200,9000,8081,135,139,445,1433,3389

 firewall-cmd --add-port=6379/tcp --add-port=9200/tcp --add-port=9000/tcp --add-port=8081/tcp --add-port=135/tcp --add-port=139/tcp --add-port=445/tcp --add-port=1433/tcp --add-port=3389/tcp --add-port=80/tcp --permanent    //firewall批量添加端口
 
 firewall-cmd --reload

测试http://[ip]:[port]，相应的服务已经可以访问了

稍等片刻，就可以看到攻击者的记录了

其它配置

配置白名单

在系统配置内，选择“白名单配置”，填入自己的网段可以减少管理蜜罐时产生的误报

数据大屏

其它功能详见HFish蜜罐功能手册：[快速了解HFish]

报告导出word无法打开问题解决

我在使用HFish蜜罐导出自动生成的周报时遇到问题，下载下来的word（.docx）文件无法打开，显示错误如下。网上修复的方法试了很多，最后找到一种真正有效的方法。

可以在网站上预览：

通过Word打开显示错误如下：

我的Office版本为2021，2019版本也会遇到这个问题。

解决方法：

使用WPS可以正常打开下载下来的。或者用WPS另存为.doc文件后，word也可以正常打开。