一、蜜罐技术诱骗时需要注意什么
比如模拟热门的网站的话
热门,也就是说网站流量比较大,如果一个蜜罐系统,访问它的流量、发出的数据包的流量没那么大,就暴露了呀。业务啥的都要类似,所以需要和真实网站高仿,
二、分类
一、目的方面
1.产品型
用一些工具进行部署
2. 研究型
emmmm
二、交互方面
1.低交互式
2.中交互式
更真实的欺骗进程,模拟复杂的服务,使得攻击者获取到这些服务的虚假相应反馈
Kippo
3.高交互式
数据捕获能力强、伪装好,资源需求大,部署风险高,可以发现操作系统、应用程序的新的漏洞,发现攻击者使用的攻击工具,了解到黑客的一些行为
三、系统配置规模角度看
1.单机蜜罐
虚假但重要的信息
2.蜜罐网络 Hone-ynet
蜜网有多个设备组成,一个网络体系,可以获取大量攻击信息
有三代架构,第三代架构,数据控制、数据捕获(Argus、Snort、…、Tcpdump、原始Socket)、数据分析(会结合Walleye(基于web页面的数据分析工具))
待改进方面:
- 提高蜜网的三种关键核心机制
- 增强蜜网体系的跨平台能力
- 平衡高交互能力和高风险矛盾
- 拓展蜜网技术的应用背景
3.蜜场
更大规模…
四、系统实现角度看
1.物理蜜罐
高交互性的,成本会高,真实ip地址、真实机器、自己的操作系统和相应硬件
2.虚拟蜜罐 Honeyd
开源的低交互的,一台就可以,所需资源相对较低、维护成本相对低
它的体系结构:…emmmm,不知道,常见协议ICMP、TCP、UDP发包后,个性引擎处理一下
它的应用方式:充当诱饵、对抗蠕虫(转移攻击流量、修补系统漏洞)
三、特点
诱骗、误导本身就会消耗攻击者资源,以此保护真正的
简化检测攻击过程,采集相关信息、防火墙、恶意识别很有帮助
分析蜜罐系统的日志记录
四、优点
- 功能上实现主动防御
- 结构上分布式防御、集中监控
- 收集数据保真度高
- 收集新的攻击工具和方法
五、缺陷
- 数据收集面比较窄
- 指纹容易被识别
- 给使用者带来风险
六、技术
1.网络欺骗技术
- 监听方面来讲,模仿服务端口诱导黑客去扫描,只能与攻击者建立连接,没有提供服务,获取信息有限
- 模拟系统漏洞和应用服务,比如蠕虫病毒与蜜罐建立http连接,蜜罐以IIS Web服务器进行响应
- 网络流量仿真,发包器去制造流量,或者采用重现方式复制流量、伪造流量,达到仿真效果
- 网络动态配置,随时间而改变,时不时实现一下网络服务的启动、关闭、重启、配置的操作,增加蜜罐欺骗性
- 蜜罐主机,对所有操作进行日志记录,避免蜜罐本身信息丢失,ip地址等敏感数据不能轻易泄露。
- 网络陷阱,(数据的控制捕获记录?)
2.数据控制技术
蜜罐如果往外发了超过一定数量的连接,有理由怀疑蜜罐被攻击者控制啦,所以要控制包和数据。而又不能主动地阻断(会被察觉),所以需要限制。
1.对外连接数限制 (IPtables完成)
2.攻击包抑制 (由Snort-inline完成)
3.数据捕获技术
1.基于主机的信息获取,在蜜罐所在主机上几乎可以捕获攻击者行为的所有信息,容易被攻击者发现,第三方软件可以通过内核模块捕获攻击者行为。比如Sebek。
2.基于网络的信息获取,网络上捕获攻击信息,风险相对小一些,难以被发现。收集IPtables日志、Snort-inline日志、一些内核日志等。
面临的挑战:大部分攻击的活动都是在加密通道(Ipsec、SSH、SSL)上进行的。
4.数据分析技术
对网络行为啥的分析,Swatch、Walleye日志分析工具
最后
BPF/eBPF 用于数据抓取分析、性能方面,操作系统内核级别监控(CPU等使用情况)(蜜罐里部署这个?)