【网络安全】什么是蜜罐和蜜网

最新推荐文章于 2024-06-03 16:00:00 发布
最新推荐文章于 2024-06-03 16:00:00 发布
阅读量3.2k 收藏 12
点赞数 1
分类专栏: 网络安全 文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37871657/article/details/124029371
版权

文章目录

前言

原始的攻击,总是攻击者处于主动地位,防御者处于被动地位,蜜罐和蜜网可以扭转对抗不对称局面。蜜罐就像一个专门为攻击者设计的陷阱,只要攻击者进入陷阱,攻击者所作的一切操作都会被记录下来,这些攻击行为记录对攻击者来说会有一定的威慑作用。

1、蜜罐的作用

从前言里大概可以了解到蜜罐是干什么的,蜜罐的作用可以总结为如下几点:
1、增加攻击者攻击成本,攻击的是蜜罐模拟出来的假目标。

2、使用蜜罐可以捕获攻击者是谁、使用什么工具、怎么攻击的,借此推导出攻击原因。

3、降低资产损失,而且蜜罐记录的攻击行为可以作为证据,对攻击者产生威慑。

所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷。蜜罐就像是一个陷阱,正常人谁来这啊?用以监视、检测和分析攻击。蜜罐和蜜网就是防御者为攻击者精心准备的会战之地。

2、蜜罐的分类

角度不同,蜜罐分类也会有所不同。

部署目标角度分类

  • 产品型
  • 研究型:对黑客攻击进行捕获和分析

交互性角度分类:攻击者在蜜罐中活动的交互性级别

  • 低交互型:仿真效果不好,但是攻击者获取不到更有用的信息,减少风险。实例:Dionaea, Honeyd, KFSensor。
  • 高交互型:能够做到以假乱真,让攻击者以为这就是一个真的系统。但是系统模拟的越真,攻击者能获取到的信息也就越多,需要取舍。实例:Shadow Daemon, Lyrebird。
  • 混合型

还有新型蜜罐

  • 主动式蜜罐:钓鱼执法。
    • 动态蜜罐:即插即用的解决方案;自动调整。
    • 被动指纹识别技术:了解所处的网络环境。
    • 动态配置:虚拟蜜罐。
  • 蜜场:honeyfarm,有很多很多漏洞的大型网络。
  • 蜜信:honeytoken。留下蜜信的线索。
  • 应用层蜜罐:honeyapp
    • 模拟应用程的服务对非自动化的攻击更具吸引力。
    • 在应用层能够更有效地对攻击进行分析。
  • 客户端蜜罐:honeyclient
    • 模拟客户端去捕获攻击客户端得到攻击。

3、蜜罐的重定向机制

对高价值目标映射蜜罐系统。

不需创建新的目标,而使用已存在的目标。

将恶意的、未经授权的活动重定向到蜜罐。

监视和捕获攻击者在蜜罐中的活动。

计算机取证技术。

什么时候重定向

  • 非预期的流量-Hot Zoning
    • 非业务目标端口
    • 非业务源端口
    • Time of day
  • 已知攻击-Bait-n-Switch
    • Snort的修改版本,内联网关
    • 将检测到活动重定向到蜜罐中
  • 基于主机的监控
    • 监控主机上的未授权活动、或恶意活动,然后重定向:Pax, Systrace

4、蜜罐的欺骗性

  • 真实的系统环境

    • 系统标识
      • IP、traceroute路径(如果连这些命令都没有,可以考虑这是一个蜜罐。)
      • 主机名、操作系统内核版本(用的系统版本过于离谱,也可以考虑这是一个蜜罐。)

  • 系统配置和应用程序

    • 开放的网络服务
    • 安装的应用程序,比如这个环境里什么软件都没有,连浏览器也没有或者浏览器记录为空,也可以考虑这是一个蜜罐环境。

  • 数据内容

    • Proxy and Cache ,一些常用软件会有缓存,如果连缓存都没有或者十天半个月都没有新增缓存,可以考虑这是一个蜜罐。

综合以上多个维度,防御者可以加强蜜罐的欺骗性,而攻击者也可以从这些点去判断是否是蜜罐。

5、蜜信

蜜信HoneyToken

HoneyToken:正常情况不会使用的一些诱饵信息

  • 数据库诱饵记录
  • 伪造的弱用户名/口令对

如果HoneyToken一旦被访问,预示着攻击发生,对它进行监视跟踪。钓鱼执法。

6、其他

基于完整性测试判断是否遭受攻击:

  • 程序本身
  • 配置文件、注册表等

攻击面Attack Surface
系统中可被利用、遭受攻击的系统资源集合

  • 攻击目标
  • 通道和协议
  • 访问控制

异构同效
原理:相当于是动态防御了,比如一个模块使用不同的方案实现,使用的时候随机使用某一个方案,以此来增大攻击者的攻击成本。

动态攻击 Moving Target Attacks MTA

多态: 改变恶意代码的签名,躲避杀软检测。

变形:恶意代码运行时自我修改,躲避杀软检测。

混淆:降低代码可读性,隐藏关键代码逻辑,对抗逆向工程。

自加密:用加密手段达到多态、变形和混淆等价效果。

反沙箱/沙盒:识别动态取证环境并在运行时改变关键代码逻辑。

反调试:识别调试环境并在运行时改变关键代码逻辑。

加密漏洞利用载荷:用加密手段达到对抗检测与取证分析目的。

蜜罐基本体系架构
蜜罐体系结构
决策:监听收集事件,根据策略与欺骗、诱导信息库中的记录进行比较后决定诱导或欺骗。

诱导:将攻击者的连接转向蜜罐系统

欺骗:误导

分析:系统所作的欺骗和诱导事件都记录到日志中,由分析模块进行分析,调整欺骗诱导策略。

蜜网技术的数据捕获的数据流
蜜网技术的数据捕获的数据流

蜜罐拦截的一些信息
蜜罐拦截的一些信息

7、参考资料

以上内容是一边听课(蜜罐和蜜网)一边总结,对蜜罐和蜜网有了一个基础认识。对攻击者和防守方也有了一个清晰的认识,两者之间的博弈有三国谋士的味道了,非常精彩。

笔头子
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
蜜罐蜜网技术PPT
09-05
网络安全中的蜜罐蜜网技术 幻灯片详细讲解
【转】防黑阻击 入侵检测之蜜罐蜜网(图)
学习........
09-29 1995
防黑阻击 入侵检测之蜜罐蜜网(图)http://www.anqn.com入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信
网络安全之——蜜罐
最新发布
A_991128a的博客
06-03 1030
蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。是一款开源的基于 Golang 开发的跨平台多功能主动诱导型蜜罐平台,为了企业安全做出了精心的打造。不仅仅支持 HTTP(S) 蜜罐,还支持SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网 等,还提供 API。
网络安全蜜罐蜜网入门指南(二)蜜罐的起源、作用及分类
程序员的一天
10-13 7045
《『网络安全蜜罐蜜网入门指南》,一份零基础也能看懂的蜜罐蜜网入门指南,欢迎关注!
蜜罐 | 蜜罐介绍
睦生
05-31 4919
参考: 浅谈网络蜜罐技术 - 知乎 (zhihu.com) 关于网络安全蜜罐的详细介绍_德迅–文琪的博客-CSDN博客 1 技术介绍 1、简介 蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征。为更好的吸引攻击者,蜜罐需要提供强悍的攻击诱骗能力。 2、分类 依据蜜罐诱骗能力或交互能力的高低,蜜罐可分为低交互蜜罐与高交互蜜罐(在国内研究中也有低、中、高三类交互能力的分法): 低交互蜜罐:主要通过模拟一些服务,为攻.
网络安全蜜罐入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
Karka_的博客
09-09 9315
蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。是一款开源的基于 Golang 开发的跨平台多功能主动诱导型蜜罐平台,为了企业安全做出了精心的打造。
利用蜜罐捕捉攻击实验(31)
yyj1781572的博客
03-10 3275
蜜罐技术上是一种对攻击方进行欺骗的技术,通过布置一些诱饵主机、服务器诱使攻击方对它们实施攻击,从而捕获并分析入侵者的攻击行为,推测攻击者意图和动机,从而增强实际系统的安全防护能力。
基于蜜罐的工控蜜网系统的设计与实现
07-07
随着我国信息化和工业化融合不断深入,工业控制系统的网络安全就显得尤为重要。从主动防御现状、系统架构、实现方法等角度出发,介绍了针对工业控制系统设计的蜜网系统,并对其网络架构和关键技术进行了深入的分析,...
论文研究-一种基于蜜网网络安全防御技术.pdf
07-22
为此提出了一种基于蜜网网络安全防御技术——用DMZ(非武装区)和两层防火墙来防止内部网络被入侵;用NIDS(网络入侵检测系统)和流量控制的方法来防止外部网络被攻击,从而较好地解决了传统网络安全模型存在的一些...
蜜罐技术与分布式蜜罐网络
03-19
而分布式蜜罐网络则进一步提升了蜜罐技术的效能,通过对多点数据的收集和分析,不仅能够更快地识别新出现的威胁,还能更好地理解这些威胁的行为模式和发展趋势,从而为网络安全提供了有力的支持。
基于虚拟蜜罐网络安全研究
02-20
整体上把握蜜罐技术的应用于进展,有助于提高对蜜罐技术的理解
{网络安全}蜜罐蜜网入门指南
LWH___的博客
09-15 1378
(一)蜜罐初识 蜜罐,是一种网络安全产品。本文作为《『网络安全蜜罐蜜网入门指南》系列的第一篇,从网络安全着手,由浅入深,逐步介绍,带大家初步认识蜜罐。 一、网络安全 如今,是一个网络世界,网络安全至关重要! 上至国家,中至企业,下至个人,都应该重视网络安全。因为它不仅关乎国家,也涉及到我们每个人的切身利益和财产安全。 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,我国专门制定出台了《中华人民共和国网络
基于虚拟机对第三代蜜网技术Honeywall的设置
qq_39448455的博客
06-03 3268
我们如果要在VM上搭建蜜网系统,蜜网网关的配置将是至关重要的。 即如何正确的安装roo-1.4.hw-20090425114542.iso,其实roo-1.4.hw-20090425114542.iso已经配置好了,不是要安装,而是需要正确的挂载,否则,roo-1.4.hw-20090425114542.iso中的配置将会被删除。 挂载流程如下图所示: 在这一步我们需要点击的是稍后安装系统,不是安...
网络安全蜜罐蜜网入门指南(一)蜜罐初识
qq_53058639的博客
10-29 56
网络安全,重于泰山,人人有责!,是一种网络安全产品。本文作为《》系列的第一篇,从网络安全着手,由浅入深,逐步介绍,带大家初步认识蜜罐
新型蜜罐有哪些?未来方向如何?
A_991128a的博客
09-09 97
*
什么是蜜罐蜜网(Honeypots and Honeynets)
chaottop的博客
05-04 121
蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络
什么是蜜罐
LYX
04-01 4357
蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值