蜜罐概述
蜜罐(Honeypot)技术是一种主动助御技术,是入侵检测技术的一个重要发展方向。蜜罐是一种在互联网上运行的计算机系统,是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的。蜜罐系统是一个包含漏洞的诱骗系统,它通过摸拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时让攻击者在蜜罐上浪费时间,延缓对真正自标的攻击,从而使目标系统得到保护。由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。从这个意义上讲,蜜罐是一个"诱捕"攻击者的陷阱。虽然蜜罐不会直接提高计算机网络安全,但它却是其他安全策略不可替代的一种主动防御技术。
蜜罐是一种软件应用系统,用来作为入侵诱饵,引诱黑客进行攻击。攻击者入侵后,可以通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。通过蜜罐,还可以窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
蜜罐的分类
按照蜜罐的构建环境以及对外界的响应情况,可将蜜罐分为零交互式蜜罐、低交互式蜜罐和高交互式蜜罐。其中,零交互式蜜罐类似于一个黑洞,它对外没有任何的响应,只是记录信息,这类蜜罐应用较少,功能也不如后两者强大。
1.低交互式蜜罐
低交互蜜罐是一种虚拟蜜罐,它实际上是一个或一组程序,通过在操作系统上运行该程序,它会根据安全人员的配置模拟出一定的网络拓扑,协议栈、服务等,可以根据规则和外界的输入产生一定的输出。
目前比较常见的低交互蜜罐有DTK、Honeyd和Nepenthes等。其原理就是使用程序来模拟网络、服务等,相当于一台虚拟机程序。低交互式蜜罐技术已经具有了与攻击源主动交互的能力,它能对攻击进行相关的响应,可以模拟出安全漏洞,而且低交互式蜜罐容易部署,容易控制攻击。但是,由于低交互式蜜罐在原理上的局限,即使是再复杂的配置,与一个真实的系统相比,低交互蜜罐提供的功能还是很有限的,一