Honeypot Technology
搞個陷阱trap,讓你掉進去!
蜜罐其實就是一個“陷阱”程式,這個陷阱是對入侵者特意設計出來的一些僞造的系統漏洞,這些僞造的系統漏洞,在
引誘
入侵者掃描或攻擊時,就會激活能夠觸發報警事件的軟體。蜜罐程式一般分為兩種:一種是隻發現人侵者而不對其采取報複行動,另一種是同時采取報複行動。
Honeypot:是一種故意存在着缺陷的虛拟系統,用來對黑客進行欺騙。
Honeynet:是一個很有學習價値的工具,它能使我們了解黑客人侵的攻擊方式。
核心機制是蜜罐技術達成對攻擊方進行
誘騙
與檢測的必須元件
1、欺騙環境建構機制: 構造出對攻擊方具有誘騙性的安全資源,吸引攻擊方對其進行探測、攻擊與利用,這裡所謂的"安全資源"可以了解為存在受攻擊面的一切資源,包括
- 蜜罐所模拟的作業系統,即系統級漏洞,例如MS06-28
- 蜜罐所模拟的系統服務、系統端口,例如RPC、SMP、FTP
- 蜜罐所模拟的應用層服務: CMS系統、VoIP等
2、威脅資料捕獲機制: 對
誘捕
到的安全威脅進行日志記錄,盡可能全面地擷取各種類型的安全威脅原始資料:
- 網絡連接配接
- 原始資料包
- 系統行為資料
- 惡意代碼樣本(.exe、shellcode)
- 威脅資料分析機制: 在捕獲的安全威脅原始資料的基礎上,分析追溯安全威脅的類型與根源,并對安全威脅姿勢進行感覺
對蜜罐技術其他擴充需求的歸納,主要包括:
- 安全風險控制機制
- 配置與管理機制
- 反蜜罐技術對抗機制等
輔助機制的主要目标
- 安全風險控制機制要確定部署蜜罐系統不被攻擊方惡意利用去攻擊網際網路和業務網絡,讓部署方規避道德甚至法律風險;
- 配置與管理機制使得部署方可以便捷地對蜜罐系統進行定制與維護;
- 反蜜罐技術對抗機制的目标是提升蜜罐系統的
效果,避免被具有較高技術水準的攻擊方利用反蜜罐技術而識别誘騙
SSH蜜罐:
https://github.com/desaster/kippo
蜜罐集合資源:
https://github.com/paralax/awesome-honeypots
kippo進階版蜜罐:
https://github.com/micheloosterhof/cowrie
SMTP 蜜罐:
https://github.com/awhitehatter/mailoney
web應用程式蜜罐:
https://github.com/mushorg/glastopf
資料庫蜜罐:
https://github.com/jordan-wright/elastichoney
web蜜罐:
https://github.com/atiger77/Dionaea