蜜墙主要任务:
- 数据捕捉:蜜网内的所有活动和进出蜜网的信息,能够在攻击者不知道被监视的情况下被捕获。
通过Sebek工具进行监视,将监视信息发到Sebek服务器--通常是蜜墙--存储数据并允许数据分析。 - 数据控制:控制进出蜜网的可疑流量,进一步地,该机制必须确保一旦蜜网中的蜜罐被攻陷,所有的恶意活动必须限制在蜜网内。
1.通过限制连接,例如允许每小时有20个TCP连接、20个UDP数据包交换、50个ICMP数据包和20个其他连接
2.某些特殊攻击限制连接没效果,要使用入侵检测系统(如snort),重写可疑数据包中的内容使之无效,大多入侵者在一段时间内无法检测到蜜墙的存在,入侵者发现可以攻击,会继续尝试不同形式的攻击,使我们能够更大程度和更长时间地观察他们。 - 数据分析:帮助你作为蜜网操作员简化捕获数据分析,以及帮助计算机和网络取证。