蜜罐是一种主动防御技术,运行在互联网上的计算机系统,是一个包含漏洞的诱骗系统。它通过模拟一个或多个易受攻击的主机和服务,来吸引和诱骗那些试图非法闯入他人计算机系统的人对它实施攻击。从而可以对攻击行为捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解它所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
常见蜜罐有以下两种类型:
实系统蜜罐
实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的,没有任何 SP 补丁,或者打了低版本 SP 补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。
伪系统蜜罐
大家应该都知道,世界上操作系统不是只有 Windows 一家而已,在这个领域,还有 Linux、Unix、OS2、BeOS 等,它们的核心不同,因此会产生的漏洞缺陷也就不尽相同,简单的说,就是很少有能同时攻击几种系统的漏洞代码,也许你用 LSASS 溢出漏洞能拿到 Windows 的权限,但是用同样的手法去溢出 Linux 只能徒劳。根据这种特性,就产生了 “伪系统蜜罐”,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的 “漏洞”,入侵这样的 “漏洞”,只能是在一个程序框架里打转,即使成功 “渗透”,也仍然是程序制造的梦境 —— 系统本来就没有让这种漏洞成立的条件,谈何 “渗透”?实现一个 “伪系统” 并不困难,Windows 平台下的一些虚拟机程序、Linux 自身的脚本功能加上第三方工具就能轻松实现,甚至在 Linux/Unix 下还能实时由管理员产生一些根本不存在的 “漏洞”,让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易,只要在后台开着相应的记录程序即可。这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的漏洞,甚至可以让一些 Windows 蠕虫攻击 Linux—— 只要你模拟出符合条件的 Windows 特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。