蜜罐的识别

最新推荐文章于 2024-10-08 13:36:13 发布
最新推荐文章于 2024-10-08 13:36:13 发布
阅读量538 收藏 6
点赞数 10
分类专栏: 网络安全 文章标签: 学习笔记 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61074128/article/details/141936886
版权

蜜罐技术本质上是对网络攻击方欺骗的一项技术,通过在服务上布置一些仿真的系统、网络服务、或是模拟一些物联网设备来诱惑攻击方对其实施攻击从而捕获攻击行为,分析攻击手段与方式,或是收集一些攻击者的个人信息来进行分析画像达到精准溯源的目的。

蜜罐的识别并不是指对蜜罐本身进行识别,因为蜜罐是网络安全人员主动部署的,而是指攻击者可能如何识别出他们正在与蜜罐交互,或者网络安全人员如何识别出攻击者正在攻击蜜罐。

蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。它并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击。蜜罐的核心价值在于对这些非法活动进行监视、检测和分析,从而了解攻击者的行为和特征。

蜜罐的分类:
蜜罐可以根据不同的标准进行分类,常见的分类方式包括:

  1. 按交互程度分类:
    低交互蜜罐:只模拟部分系统的功能,不提供完全的服务和交互环境。
    高交互蜜罐:提供一个真实的、可进行交互的系统环境,允许攻击者获得系统的完全访问权限。
  2. 按模拟目标分类:
    数据库蜜罐:模拟数据库系统,吸引针对数据库的攻击
    工控蜜罐:模拟工业控制系统,针对工业控制领域的攻击进行监测
    物联网蜜罐:模拟物联网设备,关注物联网安全领域的威胁。
    Web蜜罐:模拟Web服务器和应用,检测Web攻击行为。

蜜罐的识别方法:

  1. 网路扫描与探测:
    使用网络扫描工具(Nmap,Masscan等)对目标网络进行扫描,寻找异常的IP地址或端口。
    分析扫描结果,识别出可能的蜜罐部署位置。
  2. 行为特征分析:
    监测网络流量,分析攻击者在蜜罐上的行为特征,如频繁尝试登陆、扫描端口、发送恶意数据包等。
    结合攻击者的行为模式,判断其是否正在与蜜罐进行交互。
  3. 日志与数据分析:
    收集蜜罐的日志数据,包括网络日志、系统日志、应用日志等。
    对日志数据进行深入分析,提取攻击者的攻击工具、手段、动机、目的等信息。
  4. 蜜罐识别工具与插件;
    利用专门的蜜罐识别工具(如wafw00f、identywaf等)对目标系统进行扫描和识别。
    使用Chrome插件(如Anti-Honeypot)在浏览器层面实时监测并警告可能的蜜罐网站。
    相关插件:
    https://github.com/cnrstar/anti-honeypot
    https://github.com/jayus0821/Armor/releases/download/1.0.0/Armor_1.0.0.rar
    https://gitcode.net/mirrors/graynjo/Heimdallr?utm_source=csdn_github_accelerator

蜜罐识别的挑战与应对:
主要挑战:
蜜罐伪装性高:高交互蜜罐提供了真实的交互环境,使得攻击者难以区分其是否为真实的系统。
攻击者反侦查能力强:一些高级攻击者会使用反侦查技术来绕过蜜罐的监测和识别。

采取措施:
加强蜜罐的伪装性:通过模拟更加真实的系统环境和业务场景,提高蜜罐的欺骗性。
提升蜜罐的监测能力:采用更先进的监测技术和工具,提高蜜罐对攻击行为的感知和响应能力。
加强安全防火措施:在蜜罐周围部署防火墙、入侵检测系统等安全防火措施,防止攻击者绕过蜜罐直接攻击真实系统。

比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。
一般蜜罐里面 F12 被禁用 然后网络那边一直发送HTTP请求给Jsonp,基本上就是蜜罐了

吃土少女古拉拉
关注
专栏目录
蜜罐识别插件
SHELLCODE_8BIT的博客
11-23 1094
graynjo/Heimdallr: 一款完全被动监听的谷歌插件,用于高危指纹识别蜜罐特征告警和拦截、机器特征对抗 (github.com)
红队必备-WEB蜜罐识别阻断插件 开源 开源 开源
四维创智
08-17 1141
在真实攻防演习中,蓝队不再像以前只是被动防守,而是慢慢开始转变到主动出击的角色。对蓝队反制红队帮助最大的想来非蜜罐莫属,现在的商业蜜罐除了会模拟一个虚拟的靶机之外,还承担了一个很重要的任务:溯源黑客真实身份。相当一部分黑客因为浏览器没开隐身模式导致被利用jsonhijack漏洞抓到真实ID,虽然可以反手一个举报到src换积分,但是在漏洞修复之前,又是一批战友被溯源。相信很对已经被溯源的红方选手对此更有体会。 在这种背景下,各位红方老司机应当很需要一个能自动识别这种WEB蜜罐,因此我们写了个简单的ch.
蜜罐识别】HW 别在踩蜜罐了!!!
m0_63151293的博客
08-16 668
蓝队不再像以前只是被动防守,而是慢慢开始转变到主动出击的角色。对蓝队反制红队帮助最大的想来非蜜罐莫属,现在的商业蜜罐除了会模拟一个虚拟的靶机之外,还承担了一个很重要的任务:溯源黑客真/实/身/份。所以今天给师傅们分享我常用的蜜罐识别的工具。
第15天:信息打点—主机架构&蜜罐识别&WAF识别&&端口扫描&协议识别&服务安全
m0_72870364的博客
08-06 1038
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。由于网络空间是对IP信息进行爬取,因此可能部分IP信息搜索不到,而且搜索出的端口也不一定全都开放,但是网络空间更快速、更直观。启用插件后,发现指纹嗅探or蜜罐告警有提示,基本可以判定有蜜罐(这个插件主要是方便,但是误报率高,很鸡肋)根据蜜罐与攻击者之间进行的交互程度分类:低交互蜜罐、中交互蜜罐、高交互蜜罐。根据蜜罐模拟的目标分类:数据库蜜罐、工控蜜罐、物联网蜜罐、web蜜罐等。
浅析开源蜜罐识别与全网测绘(安全客)
墨痕诉清风的博客
01-13 2870
前言 蜜罐网络红蓝攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。 介绍 蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。 根据蜜罐的交互特征,可以分为低交互蜜罐和高交互蜜罐。后者提供了一个真正的易受攻击的系统,为的就是让攻击者...
信息打点web篇--端口扫描-waf识别-蜜罐识别
2302_79590880的博客
07-09 1114
端口扫描,waf识别蜜罐识别
信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
zrx9988的博客
07-11 346
Web服务器Apache、Nginx、IIS、lighttpd等应用服务器:Tomcat、Jboss、Weblogic、Websphere等数据库类型:Mysql、SqlServer、Oracle、Redis、MongoDB等操作系统信息Linux、windows等应用服务协议信息:FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等。
一种工控蜜罐识别与反识别技术研究与应用实践
不爱熬夜的程序猿
09-25 971
一、概述 本文章结合作者在资产探测、入侵检测、网络攻防、蜜罐研究相关工作中大量实践,在此对工控蜜罐识别与反识别的技术进行研究与应用实践与大家进行分享与探讨。 工控蜜罐通常指非真实工控设备,通常指应用服务、仿真程序等,比如服务蜜罐包括conpot、openplc、CryPLH2、仿真程序包括modbus tester、Mod Rssim、snap7、opendnp3、qtester104、DNP3_testhaness、EtherNetIP Virtual等。 二、蜜罐介绍 蜜罐是一种软件应用系统,用
第15天:信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
IceCream的博客
04-12 2181
利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。转发 跳转 jsonp,对数据做了一个中转 ,在设计中,会对输入的账号密码使用了jsonp技术进行实现,所以导致了网页的下载。针对网站就使用网站的渗透思路,针对服务器就使用服务器的渗透思路。
015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
wushangyu32335的博客
01-19 941
小迪安全2023笔记
一款集漏洞探测、攻击,Session会话,蜜罐识别等功能于一身的软件,基于go-micro微服务框架
05-24
一款集漏洞探测、攻击,Session会话,蜜罐识别等功能于一身的软件,基于go-micro微服务框架并对外提供统一HTTP API网关接口服务 Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在...
anti-honeypot:可以用来检测WEB蜜罐并中断请求,能够识别并中断长亭D-sensor和墨安幻阵的部分溯源API
03-20
标签“anti-honeypot 插件”进一步确认了这是一个针对蜜罐的浏览器插件,它可能通过分析网页代码、监控网络请求以及与服务器的交互来判断是否存在蜜罐,并在识别蜜罐时阻止相关请求,从而保护用户隐私和安全。...
基于系统和网络特征的蜜罐识别技术
06-22
### 基于系统和网络特征的蜜罐识别技术 #### 概述 蜜罐(Honeypot)作为一种特殊的网络安全防御技术,主要用于捕获、监视以及分析非法入侵者的活动。传统的蜜罐技术通过模拟易受攻击的服务或系统,吸引黑客进行...
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1271
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
项目管理-信息技术发展
GAVIN
10-04 605
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
黑龙江等保测评详细指南
最新发布
weixin_62641226的博客
10-08 251
黑龙江等保测评是保障信息系统安全的重要环节,通过科学的测评流程和专业的评估机构,帮助企业识别和应对安全风险。等保(信息安全等级保护)是指根据信息系统的重要性和安全需求,对其进行分级保护的制度。费用因测评机构、系统复杂性和测评等级而异,建议咨询具体测评机构获取报价。2. 风险管理:通过测评,识别系统中的安全风险,制定相应的防护措施。测评报告:测评机构出具正式的测评报告,包含评估结果和整改建议。选择测评机构:选择具有资质的第三方测评机构进行正式测评。整改落实:根据测评报告中的建议,进行系统的整改和优化。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1703
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
Mac ToDesk 无法连接网络
Primer5
10-04 258
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
从零开始实现RPC框架---------项目介绍及环境准备
qq_41934502的博客
10-02 439
从零开始实现rpc架构项目介绍
渗透测试中如何识别蜜罐
05-29
识别蜜罐是渗透测试中的一个重要任务,以下是一些常用的方法: 1. 端口扫描:蜜罐往往会监听一些常见的漏洞利用端口,例如TCP 22、23、80、443等。通过扫描开放的端口,可以初步判断是否存在蜜罐。 2. 操作系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值