什么是“蜜罐”

已于 2024-07-28 17:50:57 修改
阅读量459 收藏 3
点赞数 13
分类专栏: 安全产品 文章标签: 网络 安全
于 2024-07-28 11:09:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/junos_123456/article/details/140741910
版权

1. 定义

作为网络安全领域的一种主动防御技术,主要通过设置诱饵来引诱攻击者,从而捕获和分析攻击行为。

根据交互级别进行分类:
低交互蜜罐:轻量级诱饵,提供有限容易设置的信息。系统本身提供最低等级的交互,或者接近没有交互,防守方设置起来比较方便,运维起来方便,但是也容易被攻击者识别到。
高交互蜜罐:允许黑客自由活动,获取更多的信息。黑客(攻击者)和蜜罐交互的次数越多,彼此也就越发了解对方,可以从对方身上获取到的信息也就越多。对于攻击者来说就会更加便于横向渗透,对于防守方来说也就更加便于后续的溯源分析。

2.蜜罐工作原理

虚拟环境部署

蜜罐通常在一个独立的计算机或虚拟机中运行,模拟一个操作系统和应用程序。这个环境看起来像是一个真实的系统,但实际上是用来吸引攻击者的陷阱。

  • 模拟漏洞和弱点

蜜罐中的系统和应用程序被设置成含有漏洞和弱点,这些漏洞通常与真实系统相似,以诱骗攻击者利用这些漏洞进行攻击。

  • 监控和分析

当攻击者入侵蜜罐时,它会记录攻击者的行为并进行分析。安全专业人员可以通过这些数据来发现异常行为,从而及时发现和应对潜在的网络威胁。

  • 诱骗攻击者

蜜罐通过模拟各种系统和应用程序来吸引攻击者,使其看起来像是系统、网络或其他数字环境的合法部分。目的是引诱攻击者远离真正的企业资产。

  • 低误报率

由于蜜罐不提供任何实际服务,也没有合法用户,因此所有流入或流出蜜罐的网络通信都被视为可疑的。这使得蜜罐作为安全产品使用产生的告警误报率较低,有助于更准确地识别攻击行为。

3、其他概念扩展

  • 蜜饵

一般是一个文件,工作原理和蜜罐类似,也是诱使攻击者打开或下载。当黑客看到“XX下半年工作计划.docx”、“员工薪酬名单-20210630.xslx”这种文件时,往往难以忍住下载的欲望,这样就落入了防守方的陷阱。当防守方发现这里的文件有被打开过的痕迹或攻击者跟随蜜饵文件内容进行某种操作时,就可以追溯来源,发现被攻陷的设备。

  • 蜜标

我们可以把蜜饵进一步改造,在 Word 文档或者PDF 文档中植入一个隐蔽的链接,当攻击者打开这个文件时,链接可以被自动触发,防御者就可以借机获取攻击者的真实网络地址、浏览器指纹等信息,从而直接溯源定位攻击者真实身份。这种带有URL地址的蜜饵就是蜜标。

  • 蜜网

当多个蜜罐被网络连接在一起时模拟一个大型网络,并利用其中一部分主机吸引黑客入侵,通过监测、观察入侵过程,一方面调查入侵者的来源,另一方面考察用于防护的安全措施是否有效。

  • 蜜场

蜜场同样是分布式蜜罐的一种形式。但在蜜场中,攻击者踩中的是虚拟的蜜罐,经过重定向以后,由真实的蜜罐进行响应,再把响应行为传到虚拟蜜罐。

4、做个小实验:

测试环境使用的是HFISH,一个免费蜜罐(项目承诺是永久免费的),现在好像是和微步有合作。搭建步骤很简单,直接参考官网就行:https://hfish.net/#/官网有很详细的介绍,包括如何部署、如何排错、如何配置、如何应用等。

本篇文章只是介绍简单使用,登录进来之后首页。我这里做过一些测试,所有会有一些数据,正常都是为0。
(1)首先来到“环境管理—>模板管理”,这里我们测试创建一个MYSQL数据库模板。
在这里插入图片描述

(2)然后我们在“环境管理—>节点管理”中应用我们创建的模板。
在这里插入图片描述

(3)我们测试一下模板是否可用。
直接测试一下3306端口
在这里插入图片描述

然后,可以看到针对3306端口扫描测试,持续了1S。后面其他的告警是我做的一些其他的测试。比如针对ICMP的测试等,感兴趣的小伙伴可以参考官网继续深入学习。

在这里插入图片描述

5、总结:

(1)参考HFISH官网部署完蜜罐之后其实是可以直接使用的,但是为什么我还是要多此一举创建模板定义端口呢?因为在客户真正的业务系统当中,都是“专机专用”。也就是一台服务器/一台虚拟机中,一般只运行一种业务,比如说MYSQL服务器中只运行MYSQL数据库且只监听port:3306。更别说一台机器上面运行着七八种业务,显得极其不专业,也更加容易被黑客识别并暴露。
(2)蜜罐在护网当中真的是一个很方便的工具。甲方在护网正式开始之前一般都会邀请安全厂家协助护网,对现有的安全产品进行巡检、升级、加固等,也会对网络内的业务系统进行梳理等等操作。在护网正式开始之后,就会有一项很重要的工作,需要安全厂商配合甲方完成,同时也是一个展示自己实力的好机会。那就是通过分析安全产品的告警反馈给甲方,由甲方反馈给裁判组,来拿分。甲方现场会有很多的安全产品:入侵检测、防火墙、全流量、WAF等诸多安全厂家的安全产品;还有一些用于展示类的平台,比如态势感知、日志审计。这些安全产品在甲方大流量的场景下会在短时间(1S)内产生大量的告警,上千条或者上万条告警或者更多,但是这些告警真真假假,需要人工研判,这会消耗并浪费很多的时间以及人。但是蜜罐系统上显示的告警大概率是准确的。因为在护网这样紧张的情境下,还有人胆敢对网内资产进行扫描和试探,那不是“匪”就是“贼”,直接拿下。
(3)护网和重保都是很有大的话题,后面会不定期更新介绍。

Junsir斗皇强者
关注
  • 13
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
honeyd.zip蜜罐软件包下载
04-23
首先,我们要理解什么是蜜罐蜜罐是一种主动的安全防御技术,它在网络安全中扮演了诱饵的角色。当黑客尝试入侵网络时,蜜罐会假装成一个有价值的目标,如服务器、数据库或用户终端,吸引攻击者进行交互。在这个过程...
启明星辰蜜罐-虚拟机安装部署
09-09
软件版蜜罐在虚拟机上的安装部署
1.14 什么是蜜罐
凤凰涅槃而生
07-14 1517
蜜罐(Honeypot)是一种安全设备或系统,用于模拟真实网络环境中的易受攻击的目标,以吸引和监测攻击者的活动。蜜罐被设计成看似易受攻击或有价值的目标,用于吸引攻击者并收集有关攻击行为的信息。
什么是蜜罐技术?
Jian Sun_的博客
03-14 4142
互联网世界的攻击者们,比现实世界的坏人们更善于隐藏自己,他们往往躲在肉鸡、代理的背后,肆无忌惮的攻击我们的站点。对于这样的坏人,我们只能躲在高墙之后被动防御了吗? 当然不是!因为,有一种神奇的技术叫“蜜罐”。 在军事领域,以响尾蛇导弹为代表的红外制导武器,可以利用红外探测器捕获和跟踪目标自身辐射的能量来追击目标。对于飞机来说,没有任何方法能在空中关停产生热辐射的发动机,所以,对飞机来说,响尾蛇导弹是一种非常可怕的存在。 道高一尺魔高一丈,为了避免被响尾蛇导弹击落,很多飞机都会配备一种防御武器:红外诱饵弹
什么是蜜罐
布袋和尚
07-19 1133
根据这种特性,就产生了“伪系统蜜罐”,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的“漏洞”,入侵这样的“漏洞”,只能是在一个程序框架里打转,即使成功“渗透”,也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件,谈何“渗透”?然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。...
什么是蜜罐
LYX
04-01 4358
蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让...
什么是蜜罐?底层原理是什么?
长风破浪会有时的博客
04-29 1884
模拟漏洞和弱点:蜜罐中的操作系统和应用程序被设置成含有已知或未知的漏洞和弱点,这些漏洞和弱点通常与真实的系统和应用程序相似。攻击记录:蜜罐中的所有网络和系统活动都被记录和分析,以便安全团队分析攻击者的行为并制定相应的应对策略。综上所述,蜜罐通过模拟漏洞和弱点、记录攻击信息、响应攻击等多种手段,吸引攻击者并收集攻击信息,帮助安全团队更好地了解攻击者的行为和制定相应的应对策略。攻击响应:蜜罐还可以采取一些主动的防御措施,例如向攻击者发送虚假信息、封锁攻击者的IP地址等,以保护真实系统和应用程序不受攻击。
观安魅影蜜罐用户手册
11-06
观安魅影是基于网络欺骗技术的主动防御系统,通过在内网中部署具备感知能力的探测端、管理服务端、沙盒仿真服务端来协同联动。当攻击者、蠕虫、病毒等触碰到探测端时,探测端将收集到的数据及时上报到管理服务器并...
蜜罐蜜罐
02-25
蜜罐 原作者:雨宫康四郎 有关此存储库的一些说明: 我的许多修复都很丑陋,需要进一步调整,而且Amamiya-san在从事该项目时可能还剩下许多空白功能。 这可以使用.Net Framework 3.5和STN 3.1包中当前包含的dll...
判断蜜罐系统
11-03
蜜罐系统】 蜜罐技术是一种网络安全防御策略,它通过设置虚假的系统或网络资源来诱骗攻击者,以此来研究攻击行为、收集黑客工具和技术,并减轻对真实系统的威胁。蜜罐系统的设计目的是使攻击者误以为它们是真实的...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 248
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络编程套接字socket
安权_code的博客
07-23 956
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 627
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 838
使用WebSocket协议调用群发方法将消息返回客户端页面
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 933
DNS概述。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1116
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络安全性。
【计算机网络】OSPF单区域实验
m0_65787507的博客
07-26 760
DR和BDR是由同一网段中所有的路由器根据路由优先级和Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。如果DR或BDR失效,或者有新的路由器加入网络并希望成为DR或BDR,那么它们将参与新的选举过程。4:非DR路由器将自己的LSA发送给DR,然后DR将这些LSA泛洪到整个区域,使所有路由器获得一致的LSDB,从而确保区域内路由器都能计算出相同的最短路径树。
通信原理-思科实验五:家庭终端以太网接入Internet实验
sinat_39522506的博客
07-24 346
实验五 家庭终端以太网接入Internet实验。接着配置IP地址池和虚拟模板 开启宽带拨号。1.按照上图选择对应的设备,并连接起来。5.为路由器R1配置静态路由项。7.完成终端PC2 IP配置。
Hyperledger Fabric 网络体验 - 网络启动过程概览
ALONG的博客
07-25 468
作为第一次Fabric网络体验,网络启动主要包含三个操作,分别是生成配置文件、启动网络和操作网络。执行完指令能看到fabric已经启动。
honeywall 蜜罐
10-20
蜜罐(Honeywall)是指为了诱使黑客或恶意软件主动攻击而故意制造的一个虚拟环境或系统。蜜罐可以用来收集黑客攻击的数据,以便进一步分析和研究攻击手段,加强网络安全防御能力。 蜜罐一般是一个隐蔽而有吸引力的目标,看似易受攻击,但实际上是一个被专门设计用来捕获攻击者行为的监测系统。它可以模拟各种真实系统中存在的漏洞和弱点,吸引攻击者利用这些漏洞进行攻击。一旦攻击者进入蜜罐,系统会记录他们的行为和使用的工具,并自动通知安全人员。 蜜罐还可以帮助分析黑客的攻击技术和手段,了解攻击者的行为模式,从而及时进行更新和完善自身的安全措施。通过不断改进蜜罐系统的设计,可以增加黑客攻击的难度,提高网络安全的水平。 但同时,蜜罐也存在一定的风险。如果安全人员管理不当,攻击者可能会利用蜜罐获取有关真实系统的敏感信息,进一步发起有针对性的攻击。因此,保护蜜罐安全,以及与其他系统隔离是非常重要的。 总的来说,蜜罐是一种有趣而实用的安全工具,它通过诱使攻击者主动攻击,为我们提供了了解黑客攻击手段,改进网络安全防御的机会。然而,蜜罐的建立和使用需要谨慎,以确保安全管理和保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值