蜜罐的相關知識

蜜罐分為很多種，不同的蜜罐有不同的工作方式，但最終目的都是誘使黑客對其進行攻擊，然後對其的行為進行記錄並聲稱日誌，通過對蜜罐收集到對日誌進行人工或者自動化的分析來得到對網路環境中的威脅情況感知。

每乙個蜜罐都會暴露一些或難或易的漏洞給攻擊者，等待攻擊者去攻擊。攻擊者對其進行攻擊的時候蜜趁此機會蒐集攻擊者的資訊，並且拖延攻擊者的進攻步伐同時方便安全運營的同事對其進行運營操作例如封ip等。

一般情況下蜜罐並不會真正的攔截攻擊者，它更多的職責是幫助生成攻擊者畫像或者行為路徑比如攻擊者ip、攻擊者訪問了那些url、攻擊者訪問了哪些埠等等。

下面舉例列出幾種蜜罐的工作方式：

由很多個蜜罐組成的完整的網路叫做蜜網，一般情況下蜜網都被放在隔離網段，它也是一套完整的資產，有web伺服器，使用者主機、資料庫等等。它就是為了模擬乙個真實的網際網路環境而存在的，為了誘使攻擊者進入其中然後記錄攻擊者的行為並對其進行分析。

沙箱允許惡意軟體安裝並執行以供觀察其惡意行為；蜜罐和蜜網關注分析黑客會在自以為已被滲透的網路上幹些什麼；

得到攻擊者ip

分析威脅級別

總結歸類攻擊者作案手法，進而制定更匹配的防禦方案

獲取攻擊者常用的惡意軟體，並制定對應的防禦策略

我們已有的安全措施在組織網路攻擊方面的實際效果是怎樣的

批量獲取惡意ip，且準確率高，因為能訪問蜜罐的ip都是惡意ip

節省資源

相比較於常規的ids，誤報率小的多

捕獲到更多攻擊者的資訊

可以輕易捕獲內部威脅

放置一些誘餌資訊進而浪費黑客的攻擊時間，甚至達到反制黑客主機的效果

乙個好的、配置合理的蜜罐會欺騙攻擊者，讓他們相信他們已獲得真實系統的訪問許可權。它將具有與真實系統相同的登入警告訊息、相同的資料字段甚至相同的外觀和徽標。但是，如果攻擊者成功將其識別為蜜罐，他們就會繼續攻擊您的其他系統，同時不與蜜罐接觸。

如果蜜罐本身有不可預知的漏洞可以讓攻擊者進行橫移的話，那麼這個蜜罐所帶來的危害是無法想象的，因此要將蜜罐保護好，防止攻擊者從中「逃逸」出來。

蜜罐不能覆蓋所有的攻擊面，所以還是要有專門的安全人員時刻關注前沿的安全新聞。

蜜罐永遠無法代替ids與防火牆等基礎防禦裝置。

對於內網來說，常見的攻擊手段包括網路嗅探、資產探測/埠掃瞄、暴力破解、拒絕服務、arp攻擊、dns劫持、漏洞利用（redis未授權訪問、jboss配置不當導致的rce等）等，且內網的攻擊手段是隨著服務種類的增多不斷增加的。

我們需要做的，是發現內網中的異常行為/攻擊行為。相比外網來說，無需收集0day、無需分析惡意ip、對接威脅情報等，所以我們不需要高互動型別的蜜罐，在內網中低互動的蜜罐能滿足我們的需求。

所謂低互動蜜罐，就是通過模擬服務，監聽埠連線並記錄資料報，可以實現埠掃瞄和暴力破解的檢測等。

蜜罐是什麼？如何通過蜜罐提高安全性

蜜罐調研與內網安全

開源蜜罐測評報告

沙箱、蜜罐和欺騙防禦的區別