浅谈蜜罐1

新年临近，也就意味着返乡的日子逐渐临近吧。日子在指尖逗留，思念在脑海游走。

晚上会和儿时的伙伴见见，这种感觉有时还有点奇怪，没有那么多要寒暄沟通的，就是见见，看看，各自安好。

---

想写写蜜罐，因为曾经正儿八经的研究过，部署安装使用过很多开源的，虽然都有点久远了。

蜜罐，用来诱捕攻击者的，可能有个网站能够对蜜罐做些初步的判断，就是分析一下，你这个蜜罐是蜜罐，还是真的操作系统。攻击者在攻击前可能会先初步判断，如果能基本判断是蜜罐，那么就赶紧溜吧，那么判断的方法，可以是根据攻击者的经验，攻击过程中的交互反馈，还有就是使用工具啊，这里的工具就是一个网站，大名鼎鼎的Shodan，国外的网站，百度的定义是：互联网上最可怕的搜索引擎。很多黑白帽子都会使用这个引擎，能干的坏事很多，比如查看各种弱口令摄像头等。看下它的banner吧。

OK，那么我简单搜索一个网站，能够看到一些基本信息，比如端口，或者对应的服务和应用，就是一些指纹信息。如下图，可以看到2222，一般就是修改了默认的22端口的。

看下2222端口，记得说过的22端口吗，所以改端口就相当于改了名字，黑客不是通过名字来确认你的，而是指纹Fingerprint，如下。

这里不懂也没关系，略知一二即可。这个shodan是个很牛的搜索引擎即可，安全圈内人士应该知道哈。

绕远了，回到蜜罐。

蜜罐的分类有很多种啊，比如按照模拟的服务，还有就是交互类型。我们先看看交互类型吧。不知道为啥，心里莫名有点低落，加油，写完这个文章。

交互类型：根据攻击者与操作系统之间交互的程度，分为高，中，低交互类型。

• 低交互蜜罐：只提供一些特殊的虚假服务，这些服务通过在特殊端口监听来实现。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟，他们不允许完全连接或登录。这种容易部署，但是缺陷显而易见，就是很容易被有经验的攻击者识破这是个假系统，是个蜜罐。低交互性蜜罐非常适合提供恶意行为的预警。比如捕获一些端口扫描探测行为。
• 中交互蜜罐：提供了更多的交互信息，但还是没有提供一个真实的操作系统，提供了更多的仿真功能，通常使连接或登录尝试看起来很成功。它们甚至可能包含可以用来欺骗攻击者的基本文件结构和内容（就是能够登陆成功，登陆后还能看到各个分区磁盘等信息）。通过这种较高程度的交互，更复杂些的攻击手段就可以被记录和分析。中交互蜜罐是对真正的操作系统的各种行为的模拟，在这个模拟行为的系统中，用户可以进行各种随心所欲的配置，让蜜罐看起来和一个真正的操作系统没有区别。
• 高交互蜜罐：有一个真实的操作系统，它收集信息可能性、吸引攻击者攻击的程度也大大提高，但同时随着复杂程度的提高危险性也随之增大。黑客攻入系统的目的之一就是获取root权限（可以理解为拿到了管理员权限密码），一个高交互级别的蜜罐就提供了这样的环境。高交互蜜罐是完全真实的系统，设计的最主要目的是对各种网络攻击行为进行研究。高交互蜜罐最大的缺点是被入侵的可能性很高。也就是这种蜜罐没整明白，可能就被攻击者拿下，作为跳板或者肉鸡了，那就丑大了。高交互蜜罐可以采用动态欺骗方法，可以适应每个事件，使攻击者更不可能意识到他们攻击的是个诱饵。

蜜罐实在很多，开源的也很多。比如Kippo，Cowrie 是一个中型的交互式SSH蜜罐（还记得SSH吗，用来给管理人员远程登录使用的一种服务，22是默认端口，主要是unix的操作系统，windows的是3389，远程桌面服务），可以对暴力攻击、入侵等黑客行为进行记录。啥意思，这个Cowrie可以理解为一个模拟SSH服务的软件，所以呢，它必须安装在一个操作系统上，自身是无法独立存在的。它就是专门记录针对SSH攻击的一种特殊的蜜罐。有些蜜罐不同，可以模拟很多种服务，

国内也有很棒的开源蜜罐，比如Hfish 反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台 。一个平台，支持很多种蜜罐，如下图。不是做广告，而是示意，一个蜜罐可以是单一类型的服务，也可以是多个服务的综合平台。综合性的更像真实的操作系统，捕获到攻击的概率也更高。

看这个图，它可以提供很多假的（模拟的）服务。攻击者用扫描工具扫描时候，会更容易发现这个存在漏洞的系统（蜜罐），进而采取攻击。那么蜜罐也会捕获到很多攻击的手法和痕迹，当然还有就是攻防对抗中可以争取很多时间，因为黑客发现这个系统后，SSH服务搞不定，就去搞WEB服务，WEB服务搞不定，就去搞Mysql服务。。等等。

今天到这里吧，讲多了，看的人累。累觉不爱 ，那就效果不佳了。