黑客捕手——蜜罐系统

接触过网络安全的朋友可能听说过蜜罐系统，他到底是什么东西，有什么作用，那种蜜罐好用，今天就为大家来说一说。

蜜罐的产生

谍战片里面，面对潜入我方内部的间谍，我们一般会利用一些设定好的假情报让他们上钩，让他们自己浮出来，然后趁机抓捕。

一个组织的网络中，即使布置了再多的防火墙，IPS，IDS，NGFW等防御手段，也难保攻击者从其他入口攻入公司内部网络。在黑客伪装身份，进入公司网络后，如何快速发现并产生报警，搜集入侵数据用于后续的起诉成为网络安全的一个重大课题。

蜜罐系统就是系统管理员放置在网络中的一个假情报，一个捕鼠器，用于发现攻击并产生预警。

世界头号黑客米特尼克，他的攻击与藏匿技术让FBI头痛又无计可施，1995年他的手下败将下村努设置了网络蜜罐，将其引诱上钩，发现其藏身地，这才将其逮捕。

蜜罐的作用

蜜罐系统主要作用是欺骗黑客，捕捉攻击行为。

蜜罐会提供一些和真正业务系统非常类似的服务，如数据库，Web，FTP，Mail，SSH，Samba等，里面也会存放一些看似有用的业务数据，而且这些服务都是存在安全漏洞，容易被各种攻击工具识别，从而吸引黑客攻击。然后在与黑客交互的过程中，后台记录从哪个IP，哪个账号进行了什么操作，并将日志传输到一台安全的服务器（防止黑客抹掉蜜罐的日志），一般接入SIEM（安全信息和事件管理）服务器，进行统一存储，分析并处理。

通过虚拟化技术，可以在一台实体服务器上部署几十至上百个蜜罐节点，可以让不清楚状况的黑客在蜜罐群中忙得不亦乐乎，从而达到保护业务，延缓攻击的作用。

蜜罐系统架构

一、交互组件，信息收集组件和安全控制组件构成。

交互组件是设置的一系列有漏洞服务，通过这些服务将黑客引诱过来，并对黑客的攻击进行反应，同时将信息传递给信息收集组件。

二、信息收集组件在后台观察并且以日志的形式记录黑客在系统中的活动，并产生预警信息通知系统管理员或控制程序。

可以将蜜罐接入SIEM系统，传统的SIEM连接的都是真正的业务系统，会发送大量的日志，SIEM从海量的日志中分析出异常难度相对较高，蜜罐系统一般不装载真实的业务系统，因此产生的日志要小得多，使用蜜罐+SIEM系统可以利用较少的数据进行分析，发现隐藏的攻击者。

蜜罐系统分类

蜜罐系统按部署目的可以分为产品型蜜罐和研究型蜜罐。

产品型蜜罐是为一个组织的网络安全提供保护，包括攻击检测，预警，联动处理及取证。较为容易部署。大部分的蜜罐软件属于此类。

研究型蜜罐则是专门用于对黑客攻击的研究，通过部署研究型蜜罐，追踪和分析黑客的行为，了解黑客所使用的攻击工具及方法。这种蜜罐一般都会面对高频高强度的网络攻击。一般是安全组织，政府机构用来研究和检测网络攻击的工具。

推荐的开源蜜罐系统

一、HFISH，安全简单易上手。提供了一系列方便运维和管理的技术，包括：一键闪电部署、应用模板批量管理、节点服务动态调整等特性。

二、HoneyDrive基于Xubuntu的开源和蜜罐捆绑的Linux操作系统，包含超过10个预安装和预配置的蜜罐软件包。功能强大，但界面不如HFISH友好。

最后提醒一句：蜜罐系统好用，切记做好访问控制，切勿让黑客将蜜罐系统做成内网攻击的跳板。