参考:
1 技术介绍
1、简介
蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征。为更好的吸引攻击者,蜜罐需要提供强悍的攻击诱骗能力。
2、分类
依据蜜罐诱骗能力或交互能力的高低,蜜罐可分为低交互蜜罐与高交互蜜罐(在国内研究中也有低、中、高三类交互能力的分法):
- 低交互蜜罐:主要通过模拟一些服务,为攻击者提供简单的交互,低交互蜜罐配置简单,可以较容易的完成部署,但是受限于交互能力,无法捕获高价值的攻击。
- 高交互蜜罐:模拟了整个系统与服务,它们大多是真实的系统或设备,存在配置难、难以部署的问题。
2 蜜罐系统
蜜罐系统主要包括三部分:数据捕获、交互仿真、安全防护。
-
交互仿真(面向攻击者):通过仿真,诱导攻击。
-
数据捕获(面向管理者,攻击者不可见):捕获攻击者信息和攻击代码等。
-
安全防护(面向管理者,攻击者不可见):防止攻击者攻陷蜜罐系统。
手段:操作权限分级、阻断、隔离
3 不同类型蜜罐的工作原理
3.1 垃圾邮件蜜罐
将伪造的电子邮件地址放置在隐藏位置,只有自动地址收集器才能找到它。由于该地址除了是垃圾邮件陷阱外,没有任何其他用途,因此可以100%确定发送到该地址的任何邮件都是垃圾邮件。所有与发送到垃圾邮件陷阱的邮件内容相同的邮件都可以被自动阻止,并且发件人的源 IP 可以添加到黑名单中。
3.2 SQL注入蜜罐
可以设置一个诱饵数据库来监控软件漏洞,并发现利用不安全的系统架构或使用 SQL 注入、SQL 服务漏洞或滥用权限的攻击。
3.3 恶意软件蜜罐
恶意软件蜜罐模仿软件应用程序和 API 来引诱恶意软件攻击。然后可以通过分析恶意软件的特征,来开发反恶意软件或封堵 API 中的漏洞。
3.4 爬虫蜜罐
旨在通过创建只有网络爬虫才能访问的网页和链接来诱捕网络爬虫。检测网络爬虫可以帮助您了解如何阻止恶意机器人以及广告网络爬虫程序。
