1.什么是蜜罐？

蜜罐是一種主動防御技術(shù)，通過主動的暴露一些漏洞、設(shè)置一些誘餌來引誘攻擊者進行攻擊，從而可以對攻擊行為進行捕獲和分析。

2.原理是什么？

蜜罐可以故意暴露一些易受攻擊的端口，使這些端口保持在開放狀態(tài)，主動誘使攻擊者進入蜜罐環(huán)境中，而不是進入真實的系統(tǒng)。一旦攻擊者進入蜜罐環(huán)境中，就可以連續(xù)跟蹤攻擊者的行為，實現(xiàn)對攻擊者的捕獲、攻擊路徑的溯源，并通過評估攻擊者的攻擊行為，獲取有關(guān)如何使真實網(wǎng)絡(luò)更安全的線索，進而通過技術(shù)和管理手段來增強實際系統(tǒng)的安全防護能力。

3.蜜罐的分類

蜜罐系統(tǒng)根據(jù)攻擊者與蜜罐的交互級別把蜜罐分為低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐通常是最容易安裝、配置、部署和維護的，它的設(shè)計和基本功能都很簡單，只是模擬各種服務(wù)，攻擊者僅限于與預(yù)先指定的服務(wù)進行交互。例如，一個低交互的蜜罐可以用來模擬一個標準的Linux服務(wù)器，在Linux服務(wù)器中正在運行的FTP、SMTP和TELNET等服務(wù)。攻擊者可以通過遠程連接到這個蜜罐，并且獲得服務(wù)的登錄提示，然后通過猜測或暴力破解進行登錄嘗試，蜜罐將捕獲并且收集這些登錄嘗試，攻擊者與蜜罐的交互僅限于登錄嘗試，并不能登錄到這個系統(tǒng)。中交互蜜罐為攻擊者提供了比低交互蜜罐更多的交互能力，如提高一些低交互蜜罐無法提高的響應(yīng)，但比高交互蜜罐的功能少。例如，可以通過構(gòu)建一個中交互蜜罐來模擬一個web服務(wù)器，并且呈現(xiàn)出蠕蟲病毒攻擊所需的漏洞，無論何時攻擊者與蜜罐建立http連接，蜜罐都會進行響應(yīng)，使攻擊者有機會與模擬的web服務(wù)器進行交互。這種交互的程度比低交互的蜜罐交互程度高。在低交互的蜜罐中，攻擊者可能只會獲得一個http的響應(yīng)提示。在蠕蟲蜜罐的例子中，可以捕獲攻擊行為的有效載荷，以便對攻擊行為進行分析。高交互蜜罐可以為構(gòu)建者提供大量攻擊者的信息，構(gòu)建和維護非常的耗費時間，而且風(fēng)險極高，在高交互性的蜜罐中，攻擊者可以對真實的操作系統(tǒng)進行訪問，系統(tǒng)中有著最真實的漏洞，記錄下的入侵信息也都是最真實的。

4.研究現(xiàn)狀

Cheswick B在實際工程中首次使用了蜜罐技術(shù)，并且列出了詳細的交互過程。他們在互聯(lián)網(wǎng)網(wǎng)關(guān)上故意設(shè)置了一個著名的send mail調(diào)試漏洞，發(fā)現(xiàn)攻擊者試圖獲取密碼文件副本，進而透漏給攻擊者這個密碼副本，通過一步步的設(shè)置陷阱帶領(lǐng)這個攻擊者進行相關(guān)的操作，以便于獲取到這名攻擊者的位置信息并且學(xué)習(xí)這名攻擊者的技術(shù)。
Kuwatly I等人提出了一種應(yīng)用于入侵檢測領(lǐng)域的動態(tài)蜜罐，設(shè)計了由高交互和低交互共同作用的，結(jié)合了主動探測掃描技術(shù)和被動指紋識別技術(shù)，可以自主的適應(yīng)動態(tài)的、不斷變化的網(wǎng)絡(luò)環(huán)境，可以有效解決蜜罐的靜態(tài)性、部署難等問題。Buzzio-Garcia J提出了一種基于Docker創(chuàng)建高交互蜜罐的方法，可以用來檢測網(wǎng)絡(luò)級別和主機級別的攻擊，此方法可以有效的解決蜜罐的靜態(tài)性，隱蔽性弱的問題。
enjun Fan等人提出了一種名為HoneyDOC的高效的蜜罐架構(gòu)，其包含誘餌、捕獲器、協(xié)調(diào)器三個模塊，在此基礎(chǔ)上設(shè)計了一個軟件定義網(wǎng)絡(luò)的蜜罐系統(tǒng)，此蜜罐系統(tǒng)具有較強的識別能力、隱蔽能力和高擴展性。Hecker C等人提出了一種基于網(wǎng)絡(luò)掃描結(jié)果自動動態(tài)配置蜜罐的方法，可以確定給定目標網(wǎng)絡(luò)的網(wǎng)絡(luò)拓撲、連接的主機、操作系統(tǒng)、開放端口和可訪問的服務(wù)，用該方法可以幫助系統(tǒng)管理員和研究人員快速輕松的構(gòu)建單一蜜罐或組成蜜網(wǎng)系統(tǒng)，其動態(tài)變化性也可以更好地保護網(wǎng)絡(luò)。陳啟璋等人針對不足，通過采用重定向器和運用攔截代理實現(xiàn)了仿真入侵目標蜜網(wǎng)。解決了系統(tǒng)中存在的安全性不高，迷惑性不強反識別能力弱等問題。石樂義等人提出了動態(tài)陣列蜜罐。以諸多真實環(huán)境的功能主機為基本單元，通過服務(wù)、蜜罐等任務(wù)的動態(tài)偽隨機切換而形成的動態(tài)陷阱系統(tǒng)，從而迷惑和干擾敵手。李之棠等人通過將被動指紋識別技術(shù)和虛擬蜜罐技術(shù)有機的結(jié)合提出了一個動態(tài)蜜罐的思想，這個動態(tài)蜜罐是一個即插即用的蜜罐系統(tǒng)，它通過監(jiān)控和自學(xué)習(xí)實時的網(wǎng)絡(luò)環(huán)境，收集網(wǎng)絡(luò)中計算機的信息能夠自動地確定應(yīng)配置多少蜜罐以及怎樣對它們進行配置。賈召鵬等人提出了蜜罐簇的概念，以諸多部署不同真實web應(yīng)用或服務(wù)的蜜罐系統(tǒng)為基本單元，通過協(xié)同算法而形成的動態(tài)蜜罐系統(tǒng)，對外表現(xiàn)上仍然是一個蜜罐系統(tǒng)，但是可根據(jù)攻擊特征動態(tài)選擇應(yīng)用蜜罐與攻擊者交互，對解決蜜罐數(shù)據(jù)搜集的局限性有一定的成效。

5.蜜罐的缺點

（1） 傳統(tǒng)的蜜罐是一個靜態(tài)的、固定不變的網(wǎng)絡(luò)陷阱，這種傳統(tǒng)的蜜罐對于誤入陷阱的攻擊者是十分有效的，一旦攻擊者意識到這是個陷阱，將會離開，蜜罐將失去功效。
（2） 在高交互的蜜罐中，除存在已知漏洞外，還存在未知的漏洞，已知漏洞是己方設(shè)置的誘餌，在己方的掌控中。但是未知漏洞是己方不知道的，沒有辦法掌握的，若遇到一個高級的攻擊者，通過系統(tǒng)中存在的未知漏洞，攻破系統(tǒng)的防御體系，這個攻擊者可能會把蜜罐當(dāng)成一個跳板，對真實的業(yè)務(wù)系統(tǒng)展開攻擊。
（3） 傳統(tǒng)蜜罐對先驗知識的強烈依賴，在進行自動化檢測的時候，傳統(tǒng)的檢測方法都是基于先驗知識的規(guī)則庫進行檢測。對于未知漏洞或協(xié)議缺陷等實施的未知攻擊，將會存在大量的漏報、誤報，蜜罐的作用將大大的打折扣。
（4） 蜜罐技術(shù)在數(shù)據(jù)搜集方面的局限性，蜜罐僅能捕獲針對自身的攻擊，如果攻擊者所攻擊的應(yīng)用或服務(wù)不在蜜罐系統(tǒng)中，那么蜜罐將沒有作用，將不能捕獲到這次的攻擊信息。
（5） 傳統(tǒng)蜜罐技術(shù)不考慮未知后門，如果開發(fā)者為方便以后秘密進入或者控制系統(tǒng)在開發(fā)過程中故意留有后門，對蜜罐系統(tǒng)或?qū)φ麄€己方的真實系統(tǒng)都構(gòu)成巨大威脅，傳統(tǒng)蜜罐無法檢測也無法對其進行防御。

6.Hfish蜜罐的使用介紹

是一款開源的基于 Golang 開發(fā)的跨平臺多功能主動誘導(dǎo)型蜜罐平臺，為了企業(yè)安全做出了精心的打造。 不僅僅支持 HTTP(S) 蜜罐，還支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗網(wǎng) 等，還提供 API 接口，使用者可以隨意擴展蜜罐模塊，其側(cè)重企業(yè)安全場景，從內(nèi)網(wǎng)失陷檢測、外網(wǎng)威脅感知、威脅情報生產(chǎn)三個場景出發(fā)，為用戶提供可獨立操作且實用的功能，通過安全、敏捷、可靠的中低交互蜜罐增加用戶在失陷感知和威脅情報領(lǐng)域的能力。官網(wǎng)：hfish.io/#/

（1）原理
HFish蜜罐系統(tǒng)主要由管理端和節(jié)點端2部分組成，其中管理端是用來生成和管理節(jié)點端，同時負責(zé)接收、分析并展示節(jié)點端所回傳的數(shù)據(jù)，節(jié)點端則接受管理端的控制并負責(zé)構(gòu)建蜜罐服務(wù)。

（2）典型應(yīng)用
Hfish蜜罐系統(tǒng)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用案例網(wǎng)絡(luò)拓撲如下圖所示。

內(nèi)網(wǎng)部署：防御性蜜罐，監(jiān)測內(nèi)網(wǎng)攻擊。
外網(wǎng)部署：對外進行映射，當(dāng)做靶機來收集攻擊數(shù)據(jù)，可以用來研究攻擊態(tài)勢。
注意：一定要避免蜜罐節(jié)點被當(dāng)做攻擊者的跳板機，要使用嚴格的策略來進行限制。

（3）節(jié)點部署注意事項

1）用戶如果同時使用內(nèi)外網(wǎng)，最好分別在外網(wǎng)和內(nèi)網(wǎng)部署兩套獨立的管理端和節(jié)點端。
2）如果有節(jié)點需要被外網(wǎng)訪問，建議把節(jié)點和管理端部署在DMZ區(qū)域；
3）外網(wǎng)節(jié)點除了能范文管理端的TCP/443端口外，不能有權(quán)限訪問內(nèi)網(wǎng)中的任何資產(chǎn)；
4）內(nèi)網(wǎng)節(jié)點除了開放蜜罐服務(wù)相應(yīng)的端口外，其他任何端口都不應(yīng)該在網(wǎng)絡(luò)中能被用戶訪問到，如果有維護節(jié)點主機的需求，可以向有限的設(shè)備（堡壘機）開放SSH端口。
（4）Hfish特點
1）安全可靠：主打低中交互蜜罐，簡單有效；
2）功能豐富：支持基本網(wǎng)絡(luò) 服務(wù)、OA系統(tǒng)、CRM系統(tǒng)、NAS存儲系統(tǒng)、Web服務(wù)器、運維平臺、無線AP、交換機/路由器、郵件系統(tǒng)、IoT設(shè)備等40多種蜜罐服務(wù)，支持用戶制作自定義Web蜜罐，支持用戶進行流量牽引到云蜜網(wǎng)、可開關(guān)的掃描感知能力、支持可自定義的蜜餌配置；
3）開放透明：支持對接微步在線X社區(qū)API、五路syslog輸出、支持郵件、釘釘、企業(yè)威脅、飛書、自定義WebHook告警輸出；
4）快捷管理：支持單個安裝包批量部署，支持批量修改端口和服務(wù)；
5）跨平臺：支持Linux x32/x64/ARM、Windows x32/x64平臺、國產(chǎn)操作系統(tǒng)、龍芯、海光、飛騰、鯤鵬、騰云、兆芯硬件；

（5）實際操作

1）首先在官網(wǎng)下載安裝包后在自己的環(huán)境中安裝hfish系統(tǒng)。

2）登錄蜜罐系統(tǒng)，登錄界面如下圖所示。

3）點擊查看蜜罐管理界面。

4）在配置界面中增加節(jié)點配置。

系統(tǒng)會自動生成節(jié)點注冊的腳本文件。

5）復(fù)制系統(tǒng)自動生成的節(jié)點注冊腳本文件后，在后臺中進行增加節(jié)點腳本的執(zhí)行。

6）后臺界面顯示腳本執(zhí)行成功后，可以在管理界面查看到節(jié)點已經(jīng)上線。

7）點擊新增的節(jié)點，展開后可以查看到系統(tǒng)節(jié)點以及宿主機的具體詳細信息。

8）等到節(jié)點配置好后，然后開始部署蜜罐服務(wù)。

9）根據(jù)系統(tǒng)已有服務(wù)配置自定義蜜罐模板（添加一些用于捕獲攻擊行為的蜜罐系統(tǒng)，例如常用的OA系統(tǒng)等）。

10）在節(jié)點管理界面中配置并調(diào)用自定義的蜜罐模板信息。

11）在系統(tǒng)后臺中配置防火墻開放相應(yīng)的蜜罐服務(wù)的端口。

12）防火墻開放相應(yīng)的蜜罐服務(wù)端口后，可以進行訪問測試，測試發(fā)現(xiàn)相關(guān)的蜜罐服務(wù)已經(jīng)可以正常訪問，并可以嘗試進行登錄。

13）嘗試登陸結(jié)束后，返回系統(tǒng)管理端頁面，已經(jīng)可以查看到一些具體的告警信息，包括異常登錄等。

14）使用端口掃描工具對蜜罐服務(wù)的端口進行掃描。

15）同樣的在系統(tǒng)的管理界面可以查看到相關(guān)的告警信息在不斷的增多。

文章來源地址http://www.zghlxwxcb.cn/news/detail-441261.html

到了這里，關(guān)于【網(wǎng)絡(luò)安全之——蜜罐】的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！