網路安全的蜜罐解釋

❶ 關於網路中所說的密罐是什麼意思

1．蜜罐的定義。關於蜜罐，到目前為止還沒有一個完整的定義。「蜜網項目組」的創始人Lance Spitzner對蜜罐給出了一個比較權威的定義：蜜罐是一種安全資源，其價值在於被掃描、攻擊和攻陷。這個定義表明蜜罐並沒有其他的實際作用，所有流人和流出蜜罐的網路流量都可能預示著掃描、攻擊和攻陷。而蜜罐的核心價值就在於對這些攻擊活動進行監視、檢測和分析。實際上，蜜罐中只有一些虛假的敏感數據，不用於對外的正常服務。所以，它可以是一個網路、一台主機、一項服務，也可以是資料庫中的某些無用的數據或者偽裝的用戶名及其弱口令等，因此任何與它交互的行為都可以被認為是攻擊行為，這樣就簡化了檢測過程，它可以部署在各個內部子網或關鍵主機上，檢測來自網路系統外部和內部的各種攻擊，用一種以檢測、監視和捕獲攻擊行為和保護真實主機為目標的誘騙技術。
2．蜜罐的基本原理。蜜罐系統是一個陷阱系統，它通過設置一個具有很多漏洞的系統吸引黑客入侵，收集入侵者信息，為其他安全技術提供更多的知識。蜜罐採用監視器和事件日誌兩個工具對訪問蜜罐系統的行為進行監控。由於蜜罐是一個很具有誘惑力的系統，能夠分散黑客的注意力和精力，所以對真正的網路資源起到保護作用。
3．蜜罐的主要技術。蜜罐系統主要涉及網路欺騙技術、數據捕獲技術、數據控制技術p湍1：3重定向)、攻擊分析與特徵提取等主要技術。(1)網路欺騙技術：是蜜罐的核心技術，利用各種欺騙手段和安全弱點和系統漏洞，引誘黑客的攻擊。(2)數據捕獲技術：主要目的是盡可能多的捕獲攻擊信息，而不被黑客發現，包括輸入、輸出及鍵盤和屏幕的捕獲。(3)數據控制技術：主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統或危害別的主機，因此必須控制進出系統的數據流量而不被黑客懷疑。(4)攻擊分析與特徵提取：蜜罐系統設置一個數據分析模塊，在同一控制台對收集到的所有信息進行分析、綜合和關聯，完成對蜜罐攻擊信息的分析。

❷ 蜜罐技術的簡介

首先我們要弄清楚一台蜜罐和一台沒有任何防範措施的計算機的區別，雖然這兩者都有可能被入侵破壞，但是本質卻完全不同，蜜罐是網路管理員經過周密布置而設下的「黑匣子」，看似漏洞百出卻盡在掌握之中，它收集的入侵數據十分有價值;而後者，根本就是送給入侵者的禮物，即使被入侵也不一定查得到痕跡……因此，蜜罐的定義是:「蜜罐是一個安全資源，它的價值在於被探測、攻擊和損害。」
設計蜜罐的初衷就是讓黑客入侵，藉此收集證據，同時隱藏真實的伺服器地址，因此我們要求一台合格的蜜罐擁有這些功能:發現攻擊、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成，那就是在必要時候根據蜜罐收集的證據來起訴入侵者。 蜜罐是用來給黑客入侵的，它必須提供一定的漏洞，但是我們也知道，很多漏洞都屬於「高危」級別，稍有不慎就會導致系統被滲透，一旦蜜罐被破壞，入侵者要做的事情是管理員無法預料的，例如，一個入侵者成功進入了一台蜜罐，並且用它做「跳板」(指入侵者遠程式控制制一台或多台被入侵的計算機對別的計算機進行入侵行為)去攻擊別人，那麼這個損失由誰來負責?設置一台蜜罐必須面對三個問題:設陷技術、隱私、責任。
設陷技術關繫到設置這台蜜罐的管理員的技術，一台設置不周全或者隱蔽性不夠的蜜罐會被入侵者輕易識破或者破壞，由此導致的後果將十分嚴重。
由於蜜罐屬於記錄設備，所以它有可能會牽涉到隱私權問題，如果一個企業的管理員惡意設計一台蜜罐用於收集公司員工的活動數據，或者偷偷攔截記錄公司網路通訊信息，這樣的蜜罐就已經涉及法律問題了。
對於管理員而言，最倒霉的事情就是蜜罐被入侵者成功破壞了。有人也許會認為，既然蜜罐是故意設計來「犧牲」的，那麼它被破壞當然合情合理，用不著小題大做吧。對，蜜罐的確是用來「受虐」的，但是它同時也是一台連接網路的計算機，如果你做的一台蜜罐被入侵者攻破並「借」來對某大學伺服器進行攻擊，因此引發的損失恐怕只能由你來承擔了。還有一些責任是誰也說不清的，例如，你做的一台蜜罐不幸引來了Slammer、Sasser、Blaster等大名鼎鼎的「爬蟲類」病毒而成了傳播源之一，那麼這個責任誰來負擔? 世界上不會有非常全面的事物，蜜罐也一樣。根據管理員的需要，蜜罐的系統和漏洞設置要求也不盡相同，蜜罐是有針對性的，而不是盲目設置來無聊的，因此，就產生了多種多樣的蜜罐……
3.1.實系統蜜罐
實系統蜜罐是最真實的蜜罐，它運行著真實的系統，並且帶著真實可入侵的漏洞，屬於最危險的漏洞，但是它記錄下的入侵信息往往是最真實的。這種蜜罐安裝的系統一般都是最初的，沒有任何SP補丁，或者打了低版本SP補丁，根據管理員需要，也可能補上了一些漏洞，只要值得研究的漏洞還存在即可。然後把蜜罐連接上網路，根據目前的網路掃描頻繁度來看，這樣的蜜罐很快就能吸引到目標並接受攻擊，系統運行著的記錄程序會記下入侵者的一舉一動，但同時它也是最危險的，因為入侵者每一個入侵都會引起系統真實的反應，例如被溢出、滲透、奪取許可權等。
3.2.偽系統蜜罐
什麼叫偽系統呢?不要誤解成「假的系統」，它也是建立在真實系統基礎上的，但是它最大的特點就是「平台與漏洞非對稱性」。
大家應該都知道，世界上操作系統不是只有Windows一家而已，在這個領域，還有Linux、Unix、OS2、BeOS等，它們的核心不同，因此會產生的漏洞缺陷也就不盡相同，簡單的說，就是很少有能同時攻擊幾種系統的漏洞代碼，也許你用LSASS溢出漏洞能拿到Windows的許可權，但是用同樣的手法去溢出Linux只能徒勞。根據這種特性，就產生了「偽系統蜜罐」，它利用一些工具程序強大的模仿能力，偽造出不屬於自己平台的「漏洞」，入侵這樣的「漏洞」，只能是在一個程序框架里打轉，即使成功「滲透」，也仍然是程序製造的夢境——系統本來就沒有讓這種漏洞成立的條件，談何「滲透」?實現一個「偽系統」並不困難，Windows平台下的一些虛擬機程序、Linux自身的腳本功能加上第三方工具就能輕松實現，甚至在Linux/Unix下還能實時由管理員產生一些根本不存在的「漏洞」，讓入侵者自以為得逞的在裡面瞎忙。實現跟蹤記錄也很容易，只要在後台開著相應的記錄程序即可。
這種蜜罐的好處在於，它可以最大程度防止被入侵者破壞，也能模擬不存在的漏洞，甚至可以讓一些Windows蠕蟲攻擊Linux——只要你模擬出符合條件的Windows特徵!但是它也存在壞處，因為一個聰明的入侵者只要經過幾個回合就會識破偽裝，另者，編寫腳本不是很簡便的事情，除非那個管理員很有耐心或者十分悠閑。 既然蜜罐不是隨隨便便做來玩的，管理員自然就不會做個蜜罐然後讓它賦閑在家，那麼蜜罐做來到底怎麼用呢?
4.1.迷惑入侵者，保護伺服器
一般的客戶/伺服器模式里，瀏覽者是直接與網站伺服器連接的，換句話說，整個網站伺服器都暴露在入侵者面前，如果伺服器安全措施不夠，那麼整個網站數據都有可能被入侵者輕易毀滅。但是如果在客戶/伺服器模式里嵌入蜜罐，讓蜜罐作為伺服器角色，真正的網站伺服器作為一個內部網路在蜜罐上做網路埠映射，這樣可以把網站的安全系數提高，入侵者即使滲透了位於外部的「伺服器」，他也得不到任何有價值的資料，因為他入侵的是蜜罐而已。雖然入侵者可以在蜜罐的基礎上跳進內部網路，但那要比直接攻下一台外部伺服器復雜得多，許多水平不足的入侵者只能望而卻步。蜜罐也許會被破壞，可是不要忘記了，蜜罐本來就是被破壞的角色。
在這種用途上，蜜罐不能再設計得漏洞百出了。蜜罐既然成了內部伺服器的保護層，就必須要求它自身足夠堅固，否則，整個網站都要拱手送人了。
4.2.抵禦入侵者，加固伺服器
入侵與防範一直都是熱點問題，而在其間插入一個蜜罐環節將會使防範變得有趣，這台蜜罐被設置得與內部網路伺服器一樣，當一個入侵者費盡力氣入侵了這台蜜罐的時候，管理員已經收集到足夠的攻擊數據來加固真實的伺服器。
採用這個策略去布置蜜罐，需要管理員配合監視，否則入侵者攻破了第一台，就有第二台接著承受攻擊了……
4.3.誘捕網路罪犯
這是一個相當有趣的應用，當管理員發現一個普通的客戶/伺服器模式網站伺服器已經犧牲成肉雞的時候，如果技術能力允許，管理員會迅速修復伺服器。那麼下次呢?既然入侵者已經確信自己把該伺服器做成了肉雞，他下次必然還會來查看戰果，難道就這樣任由他放肆?一些企業的管理員不會罷休，他們會設置一個蜜罐模擬出已經被入侵的狀態，做起了姜太公。同樣，一些企業為了查找惡意入侵者，也會故意設置一些有不明顯漏洞的蜜罐，讓入侵者在不起疑心的情況下乖乖被記錄下一切行動證據，有些人把此戲稱為「監獄機」，通過與電信局的配合，可以輕易揪出IP源頭的那雙黑手。

❸ 國內的蜜罐安全產品有哪些一文告訴你

復雜的網路環境和高頻率的網路攻擊，讓網路安全形勢越來越嚴峻。熟悉安全行業的朋友應該知道，長時間以來「安全」都是比較被動的概念，許多企業通常是被動的防禦，被動的部署，被動的建設安全設施。但是近幾年來，一種更主動的安全技術——蜜罐，開始越來越被甲方公司所接受。蜜罐技術的優點在於，它可以偽裝成正常的業務系統，迷惑黑客、捕捉黑客的攻擊信息並且能對攻擊進行溯源，讓安全工作變得更為主動。

蜜罐作為網路安全屆的「網紅」技術，有不少有實力的安全廠商推出了相關的安全產品。本文將圍繞蜜罐技術的特點及優勢進行探討，並將當下有蜜罐技術相關商業化產品的公司做一個陳列，歡迎大家一同討論，也為有相關安全需求的甲方公司提供一個簡單的參考。

蜜罐是通過布設虛假資源來引誘攻擊者採取行動，從而發現攻擊與收集攻擊信息。蜜罐是一種誘餌，目的是引誘黑客前來攻擊，並收集黑客相關的證據和信息。

蜜罐可以實現對攻擊者的主動誘捕，能夠詳細地記錄攻擊者攻擊過程中的許多痕跡，可以收集到大量有價值的數據，如病毒或蠕蟲的源碼、黑客的操作等，從而便於提供豐富的溯源數據。（註：以下資料均來自各公司官網以及公開資料）

產品形態：SaaS

能否申請試用：能

產品頁面： 創宇蜜罐  

產品價格：最低300元/月

1.欺騙偽裝，可以模擬企業多種真實業務

2.威脅告警實時告警，能及時阻斷攻擊

3.威脅態勢同步展示，大屏實時監測威脅

4.可以對攻擊溯源，並分析入侵路徑與攻擊源

5.系統狀態性能監控

1.輕量、無侵入的客戶端。僅包含數據轉發與攻擊感知的功能，使得客戶端佔用資源極少，可在較低配置的伺服器上運行，不會對現有的業務造成影響。

2.高級模擬的蜜場集群。雲端資源可快速調整，使得蜜罐可以根據用戶的使用壓力隨時擴容。

3.威脅事件詳情全記錄。IT及運維人員在收到告警消息後，可以登入創宇蜜罐管理系統，查看此次威脅事件的詳情。

4.各蜜罐之間實現聯動，即便黑客已經入侵到實際資產中，也會被海量的蜜罐所迷惑。

5.蜜罐持續迭代創宇蜜罐與知道創宇404安全實驗室密切合作，時刻關注著業界安全態勢，持續不斷地跟蹤、研究新型攻擊手法。

6.安全專家接入，在必要時刻，用戶可聯系創宇蜜罐團隊一鍵接入知道創宇「緊急入侵救援服務」，協助用戶實施專業的入侵應急措施。

產品形態：硬體、軟體

能否申請試用：能

產品頁面： 諦聽

產品價格：無

1.全埠威脅感知

2.異常流量監測與重定向

3.高模擬高交互蜜罐

4.攻擊預警與行為分析

5.攻擊者溯源

1.東西向流量威脅感知能力。不同於傳統內網安全產品基於已知漏洞規則庫進行判定，諦聽通過在攻擊者必經之路上設置誘餌、 部署探針，監控攻擊者每一步的動作。

2.用戶可自定義多種服務型蜜罐，覆蓋信息系統中常用服務類型，並且支持高度自定義蜜罐數據，使得蜜罐蜜網環境和真實 環境更加契合，具備極強的偽裝性和欺騙性。

3.精準識別攻擊意圖，自動化完整取證。當感知到攻擊行為，會在第一時間發起告警;通過完整記錄攻擊者入侵行為，能夠協助用戶分析其攻擊意圖。

4.基於Docker架構，天然支持雲端部署，支持在雲上組蜜網，全方位保障雲上安全。

產品形態：SaaS

能否申請試用：能

產品頁面： 幻陣

產品價格：無

1.基於行為的威脅檢測

2.動態網路隔離攻擊

3.設備指紋威脅溯源

4.防抵賴入侵取證

5.覆蓋企業多種IT環境

1.基於行為的高級威脅狩獵,精確分析攻擊源、攻擊路徑及手法類型，並且無需升級，幫助企業感知和防禦0day風險。

2.根據攻擊者行為和資產狀態，實時構建動態沙箱，在不同網路環境中自動化部署沙箱、偽裝代理、漏洞、誘餌等形成動態蜜網，實現對攻擊者的全鏈路欺騙，使攻擊者無法探測真實網路環境。

3.擁有機器學習設備指紋專利技術，結合雲端黑客指紋威脅情報庫，提前識別並溯源攻擊者，內核級的攻擊行為取證技術如實記錄攻擊者入侵手法和行為。

4.與企業安全防護產品聯動，開放所有介面API，輸出黑客行為、黑客畫像、攻擊軌跡，無縫對接企業防火牆、IPS、IDS、WAF等其他安全產品。

產品形態：SaaS

能否申請試用？：能

產品頁面： 幻雲

產品價格：無

1.攻擊欺騙與轉移

2.真實資產隔離防護

3.攻擊過程捕獲分析

1.有效應對高層次網路攻擊，新型未知網路威脅、高級持續性威脅（APT）等高層次網路攻擊。

2.幻雲的攻擊發現基於欺騙，幾乎不會產生任何誤報，可做到報警即發現。捕獲的攻擊數據具有日誌量較少、包含信息量高、純凈不摻雜任何業務數據的特點。

3.增強協同防禦能力，幻雲捕獲的攻擊數據可加工形成標準的本地威脅情報輸出，在其他安全設備和安全子系統中流動，增強用戶原有安全體系整體防護能力。

目前國內提供蜜罐技術的公司主要就是上面這四家。而他們的產品主要功能大致相同，都是以欺騙偽裝和攻擊溯源為主。

知道創宇的創宇蜜罐在功能上非常豐富，能滿足絕大部分公司的需求，包括數據分析、展示等，以及有專家1v1響應，這點還是十分不錯的；

長亭的諦聽是一款商業化很多年的產品，相比較來說經驗更為豐富；

默安科技的幻陣從資料上來看沒有很大的特點，是一款中規中矩的蜜罐產品；

錦行科技的幻雲能找到的介紹資料很少，這里不過多做評價。

在此建議，公司或單位有蜜罐安全需求時，可以分別試用一下各家產品，選擇最適合自己業務情況的一家。

❹ 什麼是「蜜罐技術」

說白了就是安排一台電腦當作肉彈，頂在最危險的地方。黑客往往會攻擊這個肉彈，而放棄攻擊其他電腦。這樣就可以保護其他電腦了，同時利用黑客在肉彈上的一些記錄可以反跟蹤黑客。

❺ 蜜罐程序有什麼作用

簡單的說就是誤導黑客攻擊的一個程序

❻ 蜜罐的意思什麼

在網路安全中，蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網路服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地了解他們所面對的安全威脅，並通過技術和管理手段來增強實際系統的安全防護能力。
蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵後，你就可以知道他是如何得逞的，隨時了解針對伺服器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，並且掌握他們的社交網路。

❼ 蜜罐技術的工作原理

來源

最初出現在1990 年出版的一本小說《The Cuckoo』s Egg》
中，在這本小說中描述了作者作為一個公司的網路管理員，如何追蹤並發現一起
商業間諜案的故事。「蜜網項目組」（The Honeynet Project）的創始人Lance Spitzner
給出了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在於被掃描、攻擊和
攻陷。這個定義表明蜜罐並無其他實際作用，因此所有流入/流出蜜罐的網路流
量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就在於對這些攻擊活動進
行監視、檢測和分析。
[編輯本段]蜜罐技術的發展歷程

蜜罐技術的發展歷程分為以下三個階段。
從九十年代初蜜罐概念的提出直到1998 年左右，「蜜罐」還僅僅限於一種思
想，通常由網路管理人員應用，通過欺騙黑客達到追蹤的目的。這一階段的蜜罐
實質上是一些真正被黑客所攻擊的主機和系統。
從1998 年開始，蜜罐技術開始吸引了一些安全研究人員的注意，並開發出
一些專門用於欺騙黑客的開源工具，如Fred Cohen 所開發的DTK（欺騙工具包）、
Niels Provos 開發的Honeyd 等，同時也出現了像KFSensor、Specter 等一些商業
蜜罐產品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐工具能夠模
擬成虛擬的操作系統和網路服務，並對黑客的攻擊行為做出回應，從而欺騙黑客。
虛擬蜜罐工具的出現也使得部署蜜罐也變得比較方便。
但是由於虛擬蜜罐工具存在著交互程度低，較容易被黑客識別等問題，從
2000 年之後，安全研究人員更傾向於使用真實的主機、操作系統和應用程序搭
建蜜罐，但與之前不同的是，融入了更強大的數據捕獲、數據分析和數據控制的
工具，並且將蜜罐納入到一個完整的蜜網體系中，使得研究人員能夠更方便地追
蹤侵入到蜜網中的黑客並對他們的攻擊行為進行分析。
[編輯本段]按照其部署目的分

蜜罐可以按照其部署目的分為產品型蜜罐和研究型蜜罐兩類，產品型蜜罐的
目的在於為一個組織的網路提供安全保護，包括檢測攻擊、防止攻擊造成破壞及
幫助管理員對攻擊做出及時正確的響應等功能。一般產品型蜜罐較容易部署，而
且不需要管理員投入大量的工作。較具代表性的產品型蜜罐包括DTK、honeyd
等開源工具和KFSensor、ManTraq 等一系列的商業產品。研究型蜜罐則是專門
用於對黑客攻擊的捕獲和分析，通過部署研究型蜜罐，對黑客攻擊進行追蹤和分
析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至
能夠監聽到黑客之間的交談，從而掌握他們的心理狀態等信息。研究型蜜罐需要
研究人員投入大量的時間和精力進行攻擊監視和分析工作，具有代表性的工具是
「蜜網項目組」所推出的第二代蜜網技術。
[編輯本段]按照其交互度的等級劃分

蜜罐還可以按照其交互度的等級劃分為低交互蜜罐和高交互蜜罐，交互度反
應了黑客在蜜罐上進行攻擊活動的自由度。低交互蜜罐一般僅僅模擬操作系統和
網路服務，較容易部署且風險較小，但黑客在低交互蜜罐中能夠進行的攻擊活動
較為有限，因此通過低交互蜜罐能夠收集的信息也比較有限，同時由於低交互蜜
罐通常是模擬的虛擬蜜罐，或多或少存在著一些容易被黑客所識別的指紋
（Fingerprinting）信息。產品型蜜罐一般屬於低交互蜜罐。高交互蜜罐則完全提
供真實的操作系統和網路服務，沒有任何的模擬，從黑客角度上看，高交互蜜罐
完全是其垂涎已久的「活靶子」，因此在高交互蜜罐中，我們能夠獲得許多黑客
攻擊的信息。高交互蜜罐在提升黑客活動自由度的同時，自然地加大了部署和維
護的復雜度及風險的擴大。研究型蜜罐一般都屬於高交互蜜罐，也有部分蜜罐產
品，如ManTrap，屬於高交互蜜罐。
[編輯本段]蜜罐技術的優點

?? 收集數據的保真度，由於蜜罐不提供任何實際的作用，因此其收集到的
數據很少，同時收集到的數據很大可能就是由於黑客攻擊造成的，蜜罐
不依賴於任何復雜的檢測技術等，因此減少了漏報率和誤報率。
?? 使用蜜罐技術能夠收集到新的攻擊工具和攻擊方法，而不像目前的大部
分入侵檢測系統只能根據特徵匹配的方法檢測到已知的攻擊。
?? 蜜罐技術不需要強大的資源支持，可以使用一些低成本的設備構建蜜罐，
不需要大量的資金投入。
?? 相對入侵檢測等其他技術，蜜罐技術比較簡單，使得網路管理人員能夠
比較容易地掌握黑客攻擊的一些知識。
[編輯本段]蜜罐技術的缺點

?? 需要較多的時間和精力投入。
?? 蜜罐技術只能對針對蜜罐的攻擊行為進行監視和分析，其視圖較為有限，
不像入侵檢測系統能夠通過旁路偵聽等技術對整個網路進行監控。
?? 蜜罐技術不能直接防護有漏洞的信息系統。
?? 部署蜜罐會帶來一定的安全風險。
部署蜜罐所帶來的安全風險主要有蜜罐可能被黑客識別和黑客把蜜罐作為
跳板從而對第三方發起攻擊。一旦黑客識別出蜜罐後，他將可能通知黑客社團，
從而避開蜜罐，甚至他會向蜜罐提供錯誤和虛假的數據，從而誤導安全防護和研
究人員。防止蜜罐被識別的解決方法是盡量消除蜜罐的指紋，並使得蜜罐與真實
的漏洞主機毫無差異。蜜罐隱藏技術和黑客對蜜罐的識別技術（Anti-Honeypot）
之間相當於一個博弈問題，總是在相互競爭中共同發展。另外，蜜罐技術的初衷
即是讓黑客攻破蜜罐並獲得蜜罐的控制許可權，並跟蹤其攻破蜜罐、在蜜罐潛伏等
攻擊行為，但我們必須防止黑客利用蜜罐作為跳板對第三方網路發起攻擊。為了
確保黑客活動不對外構成威脅，必須引入多個層次的數據控制措施，必要的時候
需要研究人員的人工干預。

7.蜜罐的實際例子

下面我們以Redhat linux 9.0為平台，做一個簡單的蜜罐陷阱的配置。

我們知道，黑客一旦獲得root口令，就會以root身份登錄，這一登錄過程就是黑客入侵的必經之路。其二，黑客也可能先以普通用戶身份登錄，然後用su命令轉換成root身份，這又是一條必經之路。

我們討論如何在以下情況下設置陷阱：

(1)當黑客以root身份登錄時；

(2)當黑客用su命令轉換成root身份時；

(3)當黑客以root身份成功登錄後一段時間內；

第一種情況的陷阱設置

一般情況下，只要用戶輸入的用戶名和口令正確，就能順利進入系統。如果我們在進入系統時設置了陷阱，並使黑客對此防不勝防，就會大大提高入侵的難度系數。例如，當黑客已獲取正確的root口令，並以root身份登錄時，我們在此設置一個迷魂陣，提示它，你輸入的口令錯誤，並讓它重輸用戶名和口令。而其實，這些提示都是虛假的，只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱，不斷地輸入root用戶名和口令，卻不斷地得到口令錯誤的提示，從而使它懷疑所獲口令的正確性，放棄入侵的企圖。

給超級用戶也就是root用戶設置陷阱，並不會給系統帶來太多的麻煩，因為，擁有root口令的人數不會太多，為了系統的安全，稍微增加一點復雜性也是值得的。這種陷阱的設置時很方便的，我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發其他入侵檢測與預警控製程序。陷阱程序如下：

# root .profile
Clear
Echo 「You had input an error password , please input again !」
Echo
Echo –n 「Login:」
Read p
If ( 「$p」 = 「123456」) then
Clear
Else
Exit

第二種情況的陷阱設置

在很多情況下，黑客會通過su命令轉換成root身份，因此，必須在此設置陷阱。當黑客使用su命令，並輸入正確的root口令時，也應該報錯，以此來迷惑它，使它誤認為口令錯誤，從而放棄入侵企圖。這種陷阱的設置也很簡單，你可以在系統的/etc/profile文件中設置一個alias，把su命令重新定義成轉到普通用戶的情況就可以了，例如alias su=」su user1」。這樣，當使用su時，系統判斷的是user1的口令，而不是root的口令，當然不能匹配。即使輸入su root也是錯誤的，也就是說，從此屏蔽了轉向root用戶的可能性。

第三種情況的陷阱設置

如果前兩種設置都失效了，黑客已經成功登錄，就必須啟用登錄成功的陷阱。一旦root用戶登錄，就可以啟動一個計時器，正常的root登錄就能停止計時，而非法入侵者因不知道何處有計時器，就無法停止計時，等到一個規定的時間到，就意味著有黑客入侵，需要觸發必要的控製程序，如關機處理等，以免造成損害，等待系統管理員進行善後處理。陷阱程序如下：

# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒時間到，觸發入侵檢測與預警控制 */

將該程序放入root .bashrc中後台執行：

# root . bashrc
….
Sh .testfile&

該程序不能用Ctrl-C終止，系統管理員可用jobs命令檢查到，然後用kill %n將它停止。

從上述三種陷阱的設置，我們可以看到一個一般的規律：改變正常的運行狀態，設置虛假信息，使入侵者落入陷阱，從而觸發入侵檢測與預警控製程序。

你看是不是，不是就算了