什么是蜜罐技术，什么是蜜网？

一.什么是蜜罐技术?

国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务，所有进出蜜罐的网络流量都是非法的，都可能预示着一次扫描和攻击，蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。

蜜罐是用来吸引那些入侵者，目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。

二.使用蜜罐技术的好处

不同类型的蜜罐可以用来识别不同类型的威胁，各种蜜罐定义均基于所解决的威胁类型，它们都在全面有效的网络安全策略中占有一席之地。通过监视进入蜜罐系统的流量，你可以评估：

1、网络犯罪分子来自何处；

2、威胁级别；

3、他们的作案手法；

4、他们感兴趣的数据或应用程序；

5、你的安全措施在阻止网络攻击方面的效果如何。

按交互方式分类，蜜罐可以分为低交互蜜罐和高交互蜜罐，低交互式蜜罐使用的资源较少，收集有关威胁的级别和类型以及威胁来源的基本信息。它们的设置简单快捷，通常只需模拟一些基本的 TCP 和 IP 协议以及网络服务。但是蜜罐中没有任何内容可以让攻击者长时间进行交互，所以也不会获得有关他们的习惯或复杂威胁的深入信息。

三.什么是蜜网

蜜网（honey net）是一个网路系统，而并非某台单一主机，这一套网路系统隐藏在防火墙后面，所有进出的资料都受到监控、捕获及控制。蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又称为诱捕网络。蜜网技术实质上还是一类研究型的蜜罐技术，其主要目的仍是收集各种攻击信息。

蜜网与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息进行采集和分析。

蜜网还包括一些真正的应用程序和硬件设备，这样看起来honeynet更像一个一般的网络（实际honeynet在一个服务器上），这样更容易引起入侵者的注意。

当一个攻击者试图侵入蜜网时，入侵检测系统会触发一个报警，一个隐藏的记录器会记录下入侵者一切活动，当入侵者试图从蜜网中转向真实主机时，一个单独的防火墙会随时把主机从Internet上断开。