在具体开始讲蜜罐技术之前,我们先讲讲为什么会叫“蜜罐”这个名字?
在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。
所以蜜罐存在的意义就是——被攻击、被探测、被攻陷…
蜜罐分类:
以下内容翻译自维基百科。Honeypot (computing)
蜜罐主要可以根据部署并根据其参与程度进行分类。
根据部署,蜜罐可能被归类为:
- 生产蜜罐:易于使用,仅捕获有限的信息,主要由公司使用。生产蜜罐被组织放置在生产网络内与其他生产服务器一起,以改善其整体安全状态。通常生产蜜罐是低交互蜜罐,更易于部署。与研究蜜罐相比,它们提供的攻击或攻击者信息较少。
- 研究蜜罐:是为了收集有关针对不同网络的黑客社区的动机和策略的信息。这些蜜罐不会为特定组织增加直接价值; 相反,它们用于研究组织面临的威胁,并学习如何更好地防范这些威胁。研究蜜罐的部署和维护非常复杂,可以捕获大量信息,主要用于研究、军事或政府组织。
根据设计标准,蜜罐可分为:
-
纯蜜罐:拥有完整的生产系统。通过使用已安装在蜜罐的网络链接上的点击来监视攻击者的活动。不需要安装其他软件。即使纯蜜罐是有用的,防御机制的隐秘性也可以通过更加可控的机制来确保。
-
高交互蜜罐:模仿托管各种服务的生产系统的活动,因此,攻击者可能会被许多服务浪费时间。通过使用虚拟机,可以在单个物理机器上托管多个蜜罐。因此,即使蜜罐受到损害,它也可以更快地恢复。通常,高交互蜜罐通过难以检测提供更高的安全性,但维护起来很昂贵。如果虚拟机不可用,则必须为每个蜜罐维护一台物理计算机,这可能过于昂贵。高交互蜜罐也称作为蜜网。
-
低交互蜜罐:只模拟攻击者经常请求的服务。由于它们消耗的资源相对较少,因此可以在一个物理系统上轻松托管多个虚拟机,虚拟系统的响应时间短,所需的代码更少,从而降低了虚拟系统安全性的复杂性。
蜜罐技术在如今的网络安全行业中越来越常见,去年轰动一时的荷兰警方打击汉莎暗网市场事件,在调查期间警方就曾采用蜜罐技术来追逐汉莎暗网市场的用户。
(想看故事的这里请:直接接管暗网网站,钓出几十万毒品买卖家信息!荷兰这波行动,越看越燃!)
猎风是基于蜜罐技术的多锚点威胁感知系统。通过在攻击者必经之路上构造陷阱,混淆其攻击目标,实时告警黑客和内鬼的内网入侵行为,将其诱骗隔离以延缓攻击,并帮助用户追踪溯源、阻断攻击和安全加固,从而保护企业核心信息资产安全。
参考资料:
Honeypot (computing)
欢迎关注我和专栏,我将定期搬运技术文章~
也欢迎访问我们:知道创宇云安全 :https://www.yunaq.com/?from=CSDN90925
或拨打热线电话:400-833-1123
如果你想与我成为朋友,欢迎加微信kcsc818~
转载:https://blog.csdn.net/qq_43380549/article/details/101422238