蜜罐网络安全_蜜罐网络攻击

蜜罐的发展历程和目前的主流分类有哪些？

蜜罐技术的发展历程

从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客，并对他们的攻击行为进行分析。

、蜜罐的分类

世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置的，因此，就产生了多种多样的蜜罐……根据蜜罐与攻击者的交互程度，可以分为三类：低交互蜜罐、中交互蜜罐及高交互蜜罐。

1、低交互蜜罐

低交互蜜罐最大的特点是模拟（设计简单且功能有限，安装配置和维护都很容易）。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型。

这种蜜罐没有真实的操作系统，它的价值主要在于检测，也就是对未授权扫描或者未授权连接尝试的检测。他只提供了有限的功能，因此大部分可以用一个程序来模拟。只需将该程序安装在一台主机系统中，配置管理希望提供的服务就可以了，管理员所要做的工作就是维护程序的补丁并监视所有的预警机制。这种蜜罐所提供的功能少，出错少，风险低，同时它能够为我们提供的关于攻击者的信息量也有限，只能捕获已知的攻击行为，并且以一种预定的方式进行响应，这样容易被攻击者识破，不管模拟服务做得多好，技术高明的黑客最终都能检测到他的存在。

2、中交互蜜罐

中交互蜜罐是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息，与低交互蜜罐相比，它的部署和维护更为复杂。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别，攻击者可以得到更多的交互。它们是比真正系统还要诱人的攻击目标，因此必须要以一个安全的方式来部署这种交互。必须开发相应的机制以确保攻击者不会危害其他系统，并且这种增加的功能不会成为攻击者进行攻击的易受攻击环节。攻击者可能会访问到实际操作系统，但他们的能力是受限的，这种类型的蜜罐必须要进行日常维护，以应对新的攻击。由于它具有较大的复杂度，所以出错的风险也相应的增大，另一方面他可以收集到更多攻击者的信息。

3、高交互蜜罐

高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得ROOT权限后，受系统数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被攻击的可能性很高，如果整个高交互蜜罐被攻击，那么它就会成为攻击者下一步攻击的跳板，构建和维护它们是极为耗时的。目前在国内外的主要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。

最为常见的高交互蜜罐往往被放置在一种受控环境中，如防火墙之后。借助于这些访问控制设备来控制攻击者使用该蜜罐启动对外的攻击。这种架构的部署和维护十分的复杂，而且这种类型的蜜罐还要求对防火墙有一个恰当的过滤规则库。同时还要求配合IDS的功能，要求IDS的签名数据库进行更新，且要不停监视蜜罐的活动。它为攻击提供的交互越多出错的地方就越多。一旦进行了正确的实现，高交互度的蜜罐就能够最大程度的洞察攻击者。例如想在一个Linux蜜罐上运行一个FTP服务器，那么你见里一个真正的Linux系统来运行FTP服务。这种解决方案优势是双重的，首先，你能够捕获大量信息。这可以通过给攻击者提供真实的系统与之交互来实现，你能够了解到攻击者的整个攻击行为，从新的工具包到IRC的会话的整个过程。高交互的第二个优势是对攻击者如何攻击不是假设，它们提供一个能够捕获行为的开放的环境，高交互度解决方法将使得我们能学到以外的攻击行为，例如：一个蜜罐在一个非标准的IP协议上捕获密码后门命令。然而，这也增加了蜜罐的风险，因为攻击者能够用这些真实的操作系统来攻击非蜜罐系统。结果，要采用附加技术来组织对非蜜罐系统的攻击。高交互蜜罐虽然优于前两种交互蜜罐，但是开发和维护过于复杂。

友邻一级蜜罐有什么用

友邻一级蜜罐有保护业务，延缓攻击的作用。根据查询相关公开信息显示，

1、蜜罐系统主要作用是欺骗黑客，捕捉攻击行为，蜜罐会提供一些和真正业务系统非常类似的服务，如数据库。

2、里面也会存放一些看似有用的业务数据，而且这些服务都是存在安全漏洞，容易被各种攻击工具识别，从而吸引黑客攻击，防止黑客抹掉蜜罐的日志，一般接入SIEM（安全信息和事件管理）服务器，进行统一存储，分析并处理。

3、通过虚拟化技术，可以在一台实体服务器上部署几十至上百个蜜罐节点，可以让不清楚状况的黑客在蜜罐群中忙得不亦乐乎，从而达到保护业务，延缓攻击的作用。

蜜罐的有吗？

没有

方法/步骤

1.蜜罐其实就是一个“陷阱”程序，这个陷阱是指对人侵者而特意设计出来的-些伪造的系统漏洞。这些伪造的系统漏洞，在引诱入侵者扫描或攻击时，就会激活能够触发报警事件的软件。这样一来，网管就可以立即知晓有入侵者侵入了。

也就是说通过设置蜜罐程序，一旦操作系统中出现入侵事件，那么系统就可以很快发出报警。在许多大的网络中。一般都设计有专门的蜜罐程序。蜜罐程序一般分为两种：一种是只发现人侵者而不对其采取报复行动，另一种是同时采取报复行动。

0K，在进行了初步的了解后，请读者先来牢记两个英文的含义：

*Honeypot：是一种故意存在着缺陷的虚拟系统，用来对黑客进行欺骗。

*Honeynet：是一个很有学习价値的工具，它能使我们了解黑客人侵的攻击方式。

作为一个包含漏洞的系统，它可以帮助有特殊要求的网络模拟出一个或多个易受攻的主机，给xp系统下载黑客提供易受攻击的口标，让黑客误认为入侵成功，可以为所欲为了。使用蜜罐，主要是为了能够套住黑客，以便网络保安系统和人员能够将之“锁定”。

2.从上图中可以看出，一个操作系统与外界接触的一切机会都会被设计完善的蜜罐系统所保护、隔离，人侵者最先接触到的就是蜜罐系统。当人侵者被蜜罐系统发现后，蜜罐系统就会立即向操作系统发出砮告，此时网管们就可以立即发现并锁定人侵者了。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的口标，引诱盟客前来攻击。所以攻*者人侵后，你就可以知道他是如何得逞的。随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集盟客所用的种种工具。

对于普通的网络安全爱好者来说，一个颇具蜜罐特征的程序“冰河陷阱”可能会让大家印象深刻。这个程序可以比喜欢进行冰河受害者扫描的人侵者们，被受害者套个正着！

“冰河陷阱”具有A动清除所有版本“冰河”以及伪装成“冰河”被控端对人侵者进行欺骗，并记录入侵者的所有操作的功能。

3.在冰河陷阱的监控下，所有由远程监控端上传的文件，都会保存在UPLOAD记录下供用户分析。这一点也充分地体现出了蜜罐所成有的隔离效果。

此外。还有一类蜜罐陷阱程序可以通过在防火墙中将人侵者的IP地址设晋为最新xp系统下载黑名单来立即拒绝人侵者继续进行访问。拒绝不友好的访问既可以是短期的，也可以是长期的。

有了解honeynet的 请帮帮忙

你可以到这里看看

HONEYPOT（蜜罐）技术 什么是蜜罐 蜜罐(Honeypot)是一种在互联网上运行的计算 机系统。它是专门为吸引并诱骗那些试图非法闯 入他人计算机系统的人(如电脑黑客)而设计的，蜜 罐系统是一个包含漏洞的诱骗系统，它通过模拟 一个或多个易受攻击的主机，给攻击者提供一个 容易攻击的目标。由于蜜罐并没有向外界提供真 正有价值的服务，因此所有对蜜罐尝试都被视为 可疑的。蜜罐的另一个用途是拖延攻击者对真正 目标的攻击，让攻击者在蜜罐上浪费时间。简单 点一说：蜜罐就是诱捕攻击者的一个陷阱。 Honeypot的特点 (1) 它不是一个单一的系统,而是一个网络,是 一种高度相 互作用的Honeypot ,装有多个系统和应用软 件。 (2) 所有放置在Honeynet 内的系统都是标准 的产品系统, 即真实的系统和应用软件都不是仿效的。 Honeypot分类 可以有多种方法对其进行分类：根据蜜罐 的设计目的不同，可以分为产品型蜜罐和 研究型蜜罐二种；根据蜜罐的工作方式不 同可以分为牺牲型蜜罐和外观型蜜罐二 种。 蜜罐的主要技术 蜜罐的主要技术有网络欺骗，端口重定向，报警，数据控制 和数据捕获等。 1．网络欺骗技术： 为了使蜜罐对入侵者更有吸引力，就要采用各种欺骗手段。 例如在欺骗主机上模拟一些操作系统一些网络攻击者最"喜 欢"的端口和各种认为有入侵可能的漏洞。 2．端口重定向技术： 端口重定向技术，可以在工作系统中模拟一个非工作服务。 例如我们正常使用WEB服务（80），而用TELNET（23）和FTP （21）重定向到蜜罐系统中，而实际上这两个服务是没有开 启的，而攻击者扫描时则发现这两个端口是开放的，而实际 上两个端口是HONEYPOT虚拟出来的，对其服务器而不产生危 害性。 3．攻击（入侵）报警和数据控制 蜜罐系统本身就可以模拟成一个操作系统，我们可以把其 本身设定成为易攻破的一台主机，也就是开放一些端口和 弱口令之类的，并设定出相应的回应程序，如在LINUX中的 SHELL，和FTP程序，当攻击者"入侵"进入系统（这里所 指是HONEYPOT虚拟出来的系统）后，当进入后就相当于攻 击者进入一个设定"陷阱"，那么攻击者所做一切都在其 监视之中：如TELNET密码暴力破解，添加新用户，权限提升， 删除添加文件，还可以给入侵者一个网络连接让其可以进 行网络传输，并可以作为跳板 4．数据的捕获技术 在攻击者入侵的同时，蜜罐系统将记录攻击者输入输出信 息，键盘记录信息，屏幕信息，以及攻击者曾使用过的工 具，并分析攻击者所要进行的下一步。捕获的数据不能放 在加有HONEYPOT的主机上，因为有可能被攻击者发现，从 而使其觉察到这是一个"陷阱"而提早退出 举例说明: 图1 典型的Sebek部署。客户端模块安装在蜜罐（蓝 色）里，蜜罐里攻击者行为被捕获后发送到网络 （对攻击者是不可见的）并且由Honey wall网关被 动的收集。 Tiny Honeypot介绍 Tiny Honeypot 是由George Bakos最初编写,Tiny Honeypot最出色的一点就是系 统容易受到攻击,不用担心电脑黑客和电脑高手们不能入侵,一般会成功的,Tiny Honeypot具有很好的收集那些坏家伙(入侵者) 入侵的信息和信息保存机制。 Tiny Honeypot安装: 首先要下载thp-0.4.6.tar.gz程序然后执行下列命令: cd /usr/local #切换目录到/usr/local zcat thp-0.4.6.tar.gz tar -xvf - #解压gz文件 ln -s thp-0.4.6.tar.gz thp #建立软链接 mkdir /var/log/hpot #新建目录 chown nobody:nobody /var/log/hpot #设定目录权限 chmod 700 /var/log/hpot #修改查看日志权限 cp ./thp/xinetd.d/* /etc/xinetd.d edit xinetd files to change to :"disable = no" #修改参数(后面详解) #make any path preferences adjustements in thp.conf iptables.rules ./thp/iptables.rules #修改规则 /etc/rc.d/init.d/portmap start #启动portmap pmap_set ./thp/fakerpc /etc/rc.d/init.d/xinetd start #启动xinetd 配置过程: 1 .建议在ROOT用户上进行安装，"chmod 700 /var/log/hpot"修改 访问日志的权限，使只有ROOT才能对其进行访问 2.edit xinetd files to change to :"disable = no" 3../thp/iptables.rules 编译iptables.rules访问规则,注意修改其 ip_forward环境变量为"". 0 4.对honeypot进行网络配置 对 Honeypot进行网络及环境变量配置，如IP地址， 允许正常使用的端口，Honeypot重定向的端口以久虚拟的 网络服务，如正常使用80端口进行WWW服务，21,23端口 进行虚拟，Honeypot可以虚拟出许多的服务，如FTP服 务，WWW服务，远程SHELL，SMTP服务等，在这里就不 一一细说了。 配置实例 实例对Thp的配置 入侵检测实例应用: 启动Honeypot 现有一台主机对其虚拟主机（Honeypot A）进行分析及入侵检测: 入侵者通过远程对Honeypot A进行23端口shell连接并远程执行shell命令 入侵者通过远程对Honeypot A进行21端口Ftp连接并执行命令 接下由于我设定的为多用户模式，故可以进行实时检测，打开 /var/log/thp后查看日志文件(注意要具有ROOT用户权限) 对入侵主机进行入侵分析,从日志中可以查看入侵者曾进行的命令和正 在执行的命令. 我们已经一步步的完成使用Linux系统 Honeynet的构建和配置，这个配置包含了多 个Honeynet新技术，但是必须注意的是信息 安全的更新飞速,Honeypot的技术仍不完善, 还需要在新的条件不断的发展和完善!

蜜罐技术的作用

蜜罐主要是一种研究工具，但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上，你就可以了解它所遭受到的攻击。

当然，蜜罐和蜜网不是什么“射后不理”（fire and forget）的安全设备。据蜜网计划声称，要真正弄清楚攻击者在短短30分钟内造成的破坏，通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐，你要不断与黑客斗智斗勇。可以这么说：你选择的是战场，而对手选择的是较量时机。因而，你必须时时保持警惕。

蜜罐(Honeypot)是一种在互联网上运行的计算 机系统。它是专门为吸引并诱骗那些试图非法闯 入他人计算机系统的人(如电脑黑客)而设计的，蜜 罐系统是一个包含漏洞的诱骗系统，它通过模拟 一个或多个易受攻击的主机，给攻击者提供一个 容易攻击的目标。由于蜜罐并没有向外界提供真 正有价值的服务，因此所有对蜜罐尝试都被视为 可疑的。蜜罐的另一个用途是拖延攻击者对真正 目标的攻击，让攻击者在蜜罐上浪费时间。简单 点一说：蜜罐就是诱捕攻击者的一个陷阱。