红蓝对抗防御-蜜罐技术

1 简介

蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入/流出

蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。

蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值

的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。另外蜜罐也可以消耗攻击者

的时间，基于 JSONP 等方式来获取攻击者的画像。

但是蜜罐存在安全隐患，如果没有做好隔离，可能成为新的攻击源。

2 分类

按用途分类，蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁，寻找应对

的方式，不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。

按交互方式分类，蜜罐可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐模拟网络服务响应和攻击者交互，容

易部署和控制攻击，但是模拟能力会相对较弱，对攻击的捕获能力不强。高交互蜜罐不是简单模拟协议或服

务，而是提供真实的系统，使得被发现的概率大幅度降低。但是高交互蜜罐部署不当时存在被攻击者利用的

可能性。

3 隐藏技术

蜜罐主要涉及到的是伪装技术，主要涉及到进程隐藏、服务伪装等技术。

蜜罐之间的隐藏，要求蜜罐之间相互隐蔽。进程隐藏，蜜罐需要隐藏监控、信息收集等进程。伪服务和命令

技术，需要对部分服务进行伪装，防止攻击者获取敏感信息或者入侵控制内核。数据文件伪装，需要生成合

理的虚假数据的文件。

4 牵引技术

蜜罐牵引技术是在识别到攻击者流量后，通过在正式环境中改变路由、返回特定响应的方式将攻击者牵引到

特定的蜜罐地址。常见的牵引技术有下面几种：

• 防火墙牵引

• SDN 牵引

• ARP 牵引

• WAF 牵引

5 诱饵技术

可以在互联网中部署一定的诱饵来吸引攻击者进入特定的蜜罐中。常见的诱饵有域名诱饵、Github 诱饵、网

盘诱饵、邮件诱饵、主机诱饵、文件诱饵、漏洞诱饵等。

域名诱饵指使用特定的在字典中且有意义的主域名做为诱饵，比如 vpn.example.com / oa.example.com 等。

Github 诱饵指在 Github 中放置代码文件、失陷凭证的方式。

文件诱饵是在容易失陷的主机中放置虚假的拓扑图，关键系统 IP 的文件，从而诱导攻击者的方式。

漏洞诱饵通过部署存在特定漏洞特征的蜜罐站，吸引攻击者攻击。

6 反制技术

蜜罐可以使用一些方式对攻击者进行反制，常见的方式有 Jsonp、安全工具漏洞、Client 漏洞反制、文件反

制等方式。

Jsonp 主要是使用各大网站的 Jsonp 获取攻击者已经登录的社交账号，用以溯源。另外如果攻击者使用流量

的方式访问蜜罐网站，可以使用运营商接口获取攻击者的手机号。

安全工具漏洞是指使用安全工具的漏洞进行反制，例如 Git 泄露工具存在的文件泄露漏洞，基于 Electron 的

工具存在的 XSS to RCE 等。

Client 反制，指使用虚假的 Server 对存在漏洞的客户端进行反制，例如通过 MySQL Client 读取文件，基于

RDP/SMB 的漏洞进行 RCE。

反制文件，指在蜜罐环境中设置特定的文件，例如伪装的 VPN 客户端、特定插件来诱导攻击者点击。

DoS 反制，在获取到攻击者的 C2 样本后，可以通过批量上线的方式影响 C2 攻击者的控制服务器。

7 识别技术

攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐，尝试一些比较复杂且少见的操作能比

较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别，因为高交互蜜罐通常以真实系统为基础来构

建，和真实系统比较近似。对这种情况，通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特

征、特殊指令等来识别。

协议实现识别

部分蜜罐在实现的过程中，协议的部分参数固定或随机的范围有限，可以通过特定参数的范围来识别蜜罐。

部分蜜罐协议支持的版本范围为某一特定版本范围，可以通过对应的版本范围来推测是否为蜜罐。

部分蜜罐在交互过程中有探测客户端特征的交互，可以通过这些交互过程来识别蜜罐。

部分蜜罐对不正确的请求也返回正常的相应，可以通过这种特征来判定蜜罐。

环境特征

部分蜜罐的用户名、密码固定，或内存使用、进程占用等动态特征变化较为规律，可以通过这种方式来判断

是否为蜜罐。

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

• 如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：
此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失