一、蜜罐的定义
蜜罐和没有任何防范措施的计算机存在本质区别。虽然两者都有可能被入侵破坏,但蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中。它收集的入侵数据具有极高的价值。而没有防范措施的计算机则是送给入侵者的礼物,即使被入侵也不一定能够查到痕迹。因此,蜜罐的定义是:“蜜罐是一个安全资源,其价值在于被探测、攻击和损害。
设计蜜罐的初衷是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址。因此,一台合格的蜜罐应具备以下功能:发现攻击、产生警告、强大的记录能力、欺骗以及协助调查。另外一个功能由管理员完成,即在必要时根据蜜罐收集的证据来起诉入侵者。
二、蜜罐的类型
世界上没有一种事物是非常全面的,蜜罐也不例外。根据管理员的需求和设置要求,蜜罐的类型各异,具有针对性,而非盲目设置。因此,出现了多种类型的蜜罐。
-
实系统蜜罐:实系统蜜罐是最真实的蜜罐,它在运行着真实的系统,并带有真实可入侵的漏洞。这种蜜罐记录下的入侵信息往往是最真实的。安装在实系统蜜罐上的系统通常是初始状态,没有任何安全补丁或只打了较低版本的安全补丁。根据管理员的需要,可能会添加一些漏洞,只要存在值得研究的漏洞即可。连接到网络后,这类蜜罐很快就能吸引到目标并接受攻击,记录程序会记录下入侵者的活动。然而,同时也是最危险的类型,因为每次入侵都会引起系统的真实反应,例如溢出、渗透、夺取权限等。
-
伪系统蜜罐:伪系统蜜罐建立在真实系统基础之上,最大的特点是"平台与漏洞非对称