网络安全蓝队之蜜罐篇

蓝队攻击之蜜罐篇

什么是蜜罐？

简单来说，蜜罐是一种计算机系统或应用程序，旨在吸引恶意代理试图通过使用垃圾邮件、网络钓鱼、DDoS 或其他恶意方法攻击计算机网络。

一旦攻击者落入这个陷阱，蜜罐允许管理员获取有关攻击者类型、他正在尝试的活动的有价值数据，并且在许多情况下，甚至可以识别攻击者。

所有蜜罐的主要目标是识别针对不同类型软件的新兴攻击，并收集报告以分析和生成情报数据——这些数据随后将用于创建针对网络威胁的预防技术。

有两种不同类型的蜜罐：

• • 研究蜜罐：这种类型的陷阱被在大学、学院、学校和其他相关协会等机构工作的开发人员、系统管理员和蓝队经理使用。
• • 生产蜜罐：私人和公共机构、公司和公司使用它来调查寻求攻击 Internet 网络的黑客的行为和技术。

本质上，蜜罐可以让您获得有价值的数据，以便您可以使用不同的攻击面减少策略。

蜜罐是如何起作用的？

如前所述，蜜罐是一个陷阱系统。这些陷阱系统通常设置在连接到网络的虚拟机或云服务器中，但由系统和网络团队隔离并严格监控。为了帮助他们被坏人注意到，蜜罐被设计成故意易受攻击，攻击者将检测并尝试利用这些弱点。

这些弱点可能是应用程序内部安全漏洞的一部分，也可能是系统漏洞，例如不必要的开放端口、过时的软件版本、弱密码或未打补丁的旧内核。

一旦攻击者找到他的易受攻击的目标，他将尝试发起攻击并提升权限，直到他能够获得对盒子或应用程序的一定控制权。

他们中的大多数人不知道的是，蜜罐管理员正在仔细观察他们的每一步，从攻击者那里收集数据，这些数据实际上有助于强化当前的安全策略。管理员还可以立即将事件报告给法律机构，这在高端企业网络中经常发生。

大多数蜜罐充当陷阱，分散攻击者对实际网络上托管的关键数据的注意力。另一个共同点是，几乎所有与蜜罐的连接尝试都可以被视为恶意，因为几乎没有（如果有的话）可能促使合法用户连接这些类型的系统的原因。

在配置蜜罐时，您必须了解您希望暴露给攻击者的黑客难度级别。如果它太容易破解，他们可能会失去兴趣，甚至意识到他们不是在处理真正的生产系统。

另一方面，如果系统过于坚固，您实际上会阻止任何攻击并且将无法收集任何数据。因此，就难度而言，用介于简单和困难之间的东西来引诱攻击者是模拟真实系统的最佳选择。

攻击者能否检测到他是否在蜜罐内？当然。具有高水平技术知识的高级用户能够识别他们正在进入蜜罐空间的一些迹象。

即使是非技术用户也可以使用自动蜜罐检测器（例如 Shodan 的Honeyscore ）检测蜜罐，它使您能够识别蜜罐 IP 地址。

蜜罐示例

一些系统工程师倾向于根据他们试图保护或暴露的目标软件对蜜罐进行分类。因此，虽然蜜罐列表可能很广泛，但我们在这里列出了一些最受欢迎的蜜罐：

• • 垃圾邮件蜜罐：也称为垃圾邮件陷阱，此蜜罐专门用于在垃圾邮件发送者到达合法邮箱之前将其捕获。这些通常具有开放的中继以受到攻击，并与 RBL 列表密切合作以阻止恶意流量。
• • 恶意软件蜜罐：创建这种类型的蜜