蜜罐技术了解

一、蜜罐技术诱骗时需要注意什么

比如模拟热门的网站的话
热门，也就是说网站流量比较大，如果一个蜜罐系统，访问它的流量、发出的数据包的流量没那么大，就暴露了呀。业务啥的都要类似，所以需要和真实网站高仿，

二、分类

一、目的方面

1.产品型
用一些工具进行部署
2. 研究型
emmmm
二、交互方面

1.低交互式

2.中交互式
更真实的欺骗进程，模拟复杂的服务，使得攻击者获取到这些服务的虚假相应反馈
Kippo
3.高交互式
数据捕获能力强、伪装好，资源需求大，部署风险高，可以发现操作系统、应用程序的新的漏洞，发现攻击者使用的攻击工具，了解到黑客的一些行为
三、系统配置规模角度看
1.单机蜜罐
虚假但重要的信息
2.蜜罐网络 Hone-ynet
蜜网有多个设备组成，一个网络体系，可以获取大量攻击信息
有三代架构，第三代架构，数据控制、数据捕获（Argus、Snort、…、Tcpdump、原始Socket）、数据分析(会结合Walleye（基于web页面的数据分析工具）)
待改进方面：

1. 提高蜜网的三种关键核心机制
2. 增强蜜网体系的跨平台能力
3. 平衡高交互能力和高风险矛盾
4. 拓展蜜网技术的应用背景

3.蜜场
更大规模…

四、系统实现角度看

1.物理蜜罐
高交互性的，成本会高，真实ip地址、真实机器、自己的操作系统和相应硬件
2.虚拟蜜罐 Honeyd
开源的低交互的，一台就可以，所需资源相对较低、维护成本相对低

它的体系结构：…emmmm，不知道，常见协议ICMP、TCP、UDP发包后，个性引擎处理一下
它的应用方式：充当诱饵、对抗蠕虫（转移攻击流量、修补系统漏洞）

三、特点

诱骗、误导本身就会消耗攻击者资源，以此保护真正的
简化检测攻击过程，采集相关信息、防火墙、恶意识别很有帮助
分析蜜罐系统的日志记录

四、优点

1. 功能上实现主动防御
2. 结构上分布式防御、集中监控
3. 收集数据保真度高
4. 收集新的攻击工具和方法

五、缺陷

1. 数据收集面比较窄
2. 指纹容易被识别
3. 给使用者带来风险

六、技术

1.网络欺骗技术

1. 监听方面来讲，模仿服务端口诱导黑客去扫描，只能与攻击者建立连接，没有提供服务，获取信息有限
2. 模拟系统漏洞和应用服务，比如蠕虫病毒与蜜罐建立http连接，蜜罐以IIS Web服务器进行响应
3. 网络流量仿真，发包器去制造流量，或者采用重现方式复制流量、伪造流量，达到仿真效果
4. 网络动态配置，随时间而改变，时不时实现一下网络服务的启动、关闭、重启、配置的操作，增加蜜罐欺骗性
5. 蜜罐主机，对所有操作进行日志记录，避免蜜罐本身信息丢失，ip地址等敏感数据不能轻易泄露。
6. 网络陷阱，（数据的控制捕获记录？）

2.数据控制技术

蜜罐如果往外发了超过一定数量的连接，有理由怀疑蜜罐被攻击者控制啦，所以要控制包和数据。而又不能主动地阻断（会被察觉），所以需要限制。
1.对外连接数限制 (IPtables完成)
2.攻击包抑制 (由Snort-inline完成)

3.数据捕获技术

1.基于主机的信息获取，在蜜罐所在主机上几乎可以捕获攻击者行为的所有信息，容易被攻击者发现，第三方软件可以通过内核模块捕获攻击者行为。比如Sebek。

2.基于网络的信息获取，网络上捕获攻击信息，风险相对小一些，难以被发现。收集IPtables日志、Snort-inline日志、一些内核日志等。
面临的挑战：大部分攻击的活动都是在加密通道（Ipsec、SSH、SSL）上进行的。

4.数据分析技术

对网络行为啥的分析，Swatch、Walleye日志分析工具

最后

BPF/eBPF 用于数据抓取分析、性能方面，操作系统内核级别监控（CPU等使用情况）（蜜罐里部署这个？）