如何簡單明了的了解網路中的蜜罐

① 關於網路中所說的密罐是什麼意思

1．蜜罐的定義。關於蜜罐，到目前為止還沒有一個完整的定義。「蜜網項目組」的創始人Lance Spitzner對蜜罐給出了一個比較權威的定義：蜜罐是一種安全資源，其價值在於被掃描、攻擊和攻陷。這個定義表明蜜罐並沒有其他的實際作用，所有流人和流出蜜罐的網路流量都可能預示著掃描、攻擊和攻陷。而蜜罐的核心價值就在於對這些攻擊活動進行監視、檢測和分析。實際上，蜜罐中只有一些虛假的敏感數據，不用於對外的正常服務。所以，它可以是一個網路、一台主機、一項服務，也可以是資料庫中的某些無用的數據或者偽裝的用戶名及其弱口令等，因此任何與它交互的行為都可以被認為是攻擊行為，這樣就簡化了檢測過程，它可以部署在各個內部子網或關鍵主機上，檢測來自網路系統外部和內部的各種攻擊，用一種以檢測、監視和捕獲攻擊行為和保護真實主機為目標的誘騙技術。
2．蜜罐的基本原理。蜜罐系統是一個陷阱系統，它通過設置一個具有很多漏洞的系統吸引黑客入侵，收集入侵者信息，為其他安全技術提供更多的知識。蜜罐採用監視器和事件日誌兩個工具對訪問蜜罐系統的行為進行監控。由於蜜罐是一個很具有誘惑力的系統，能夠分散黑客的注意力和精力，所以對真正的網路資源起到保護作用。
3．蜜罐的主要技術。蜜罐系統主要涉及網路欺騙技術、數據捕獲技術、數據控制技術p湍1：3重定向)、攻擊分析與特徵提取等主要技術。(1)網路欺騙技術：是蜜罐的核心技術，利用各種欺騙手段和安全弱點和系統漏洞，引誘黑客的攻擊。(2)數據捕獲技術：主要目的是盡可能多的捕獲攻擊信息，而不被黑客發現，包括輸入、輸出及鍵盤和屏幕的捕獲。(3)數據控制技術：主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統或危害別的主機，因此必須控制進出系統的數據流量而不被黑客懷疑。(4)攻擊分析與特徵提取：蜜罐系統設置一個數據分析模塊，在同一控制台對收集到的所有信息進行分析、綜合和關聯，完成對蜜罐攻擊信息的分析。

② 蜜罐的意思什麼

在網路安全中，蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網路服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地了解他們所面對的安全威脅，並通過技術和管理手段來增強實際系統的安全防護能力。
蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵後，你就可以知道他是如何得逞的，隨時了解針對伺服器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，並且掌握他們的社交網路。

③ 銆愮綉緇滃畨鍏ㄣ戣湝緗愭妧鏈鏄浠涔堬紵鏈夊摢浜涗綔鐢錛

鍥介檯銍滅綈鎶鏈鐮旂┒緇勭粐Honeynet Project鐨勫壋濮嬩漢Lance Spitzner緇欏嚭浜嗚湝緗愮殑鏉冨▉瀹氫箟:銍滅綈鏄涓縐嶅畨鍏ㄨ祫婧愶紝鍏朵環鍊煎湪浜庤鎵鎻忋佹敾鍑誨拰鏀婚櫡銆傝湝緗愬苟涓嶅悜澶栫晫鐢ㄦ埛鎻愪緵浠諱綍鏈嶅姟錛屾墍鏈夎繘鍑鴻湝緗愮殑緗戠粶嫻侀噺閮芥槸闈炴硶鐨勶紝閮藉彲鑳介勭ず鐫涓嬈℃壂鎻忓拰鏀誨嚮錛岃湝緗愮殑鏍稿績浠峰煎湪浜庡硅繖浜涢潪娉曟椿鍔ㄨ繘琛岀洃瑙嗐佹嫻嬪拰鍒嗘瀽銆
銍滅綈鏄鐢ㄦ潵鍚稿紩閭ｄ簺鍏ヤ鏡鑰咃紝鐩鐨勫湪浜庝簡瑙ｈ繖浜涙敾鍑匯傝湝緗愮湅璧鋒潵灝辨槸涓鍙版湁涓涓鎴栬呭氫釜鍙浠ヨ鏀誨嚮鑰呭埄鐢ㄦ紡媧炵殑鏈嶅姟鍣ㄦ垨璁＄畻鏈轟富鏈恆備粬浠綆鍗曠殑灝卞傚悓涓涓榛樿ゅ畨瑁呯殑鎿嶄綔緋葷粺鍏呮弧浜嗘紡媧炰互鍙婅鏀葷牬鐨勫彲鑳芥с
銍滅綈鐨勭洰鏍囧強浣滅敤
銍滅綈鎶鏈寮哄ぇ鑰岀伒媧伙紝涓嶄粎鍙浠ヨ瘑鍒瀵圭綉緇滀笂涓繪満鐨勬敾鍑諱篃鍙浠ョ洃瑙嗗拰璁板綍鏀誨嚮鏄濡備綍榪涜岀殑銆傝湝緗愬彲浠ュ拰鍏ヤ鏡媯嫻婭DS涓璧峰伐浣滐紝涓
IDS鐩告瘮錛岃湝緗愮殑璇鎶ョ巼杈冧綆銆傝繖鏄鍥犱負銍滅綈鏃涓嶆彁渚涗換浣曠綉緇滄湇鍔★紝涔熸病鏈変換浣曞悎娉曠敤鎴鳳紝浣嗗苟涓嶆槸緗戠粶涓婄殑絀洪棽璁懼囥傚洜姝わ紝浠諱綍嫻佸叆鎴栬呮祦鍑鴻湝緗愮殑緗戠粶閫氫俊閮藉彲浠ユ槸鍋氬彲鐤戠殑錛屾槸緗戠粶姝ｅ湪琚鏀誨嚮鐨勪竴縐嶆爣蹇椼
銍滅綈鐨勪富瑕佺洰鏍囨槸瀹瑰繊鍏ヤ鏡鑰呮敾鍑昏嚜韜錛屽湪琚鏀誨嚮鐨勮繃紼嬩腑璁板綍鏀墮泦鍏ヤ鏡鑰呯殑鏀誨嚮宸ュ叿銆佹墜孌點佸姩鏈恆佺洰鐨勭瓑琛屼負淇℃伅銆傚挨鍏舵槸鍏ヤ鏡鑰呬嬌鐢ㄤ簡鏂扮殑鏈鐭ユ敾鍑昏屼負鏃訛紝鏀墮泦榪欎簺淇℃伅錛屼粠鑰屾牴鎹鍏惰皟鏁寸綉緇滃畨鍏ㄧ瓥鐣ワ紝鎻愰珮緋葷粺瀹夊叏鎬ц兘銆傚悓鏃惰湝緗愯繕鍏鋒湁杞縐繪敾鍑昏呮敞鎰忓姏錛屾秷鑰楀叾鏀誨嚮璧勬簮銆佹剰蹇楋紝闂存帴淇濇姢鐪熷疄鐩鏍囩郴緇熺殑浣滅敤銆
銍滅綈鐨勫垎綾
銍滅綈鍙浠ヨ繍琛屼換浣曟搷浣滅郴緇熷拰浠繪剰鏁伴噺鐨勬湇鍔°傝湝緗愭牴鎹浜や簰紼嬪害(Level
ofInvolvement)鐨勪笉鍚屽彲浠ュ垎涓洪珮浜や簰銍滅綈鍜屼綆浜や簰銍滅綈銆傝湝緗愮殑浜や簰紼嬪害鏄鎸囨敾鍑昏呬笌銍滅綈鐩鎬簰浣滅敤鐨勭▼搴︼紝楂樹氦浜掕湝緗愭彁渚涚粰鍏ヤ鏡鑰呬竴涓鐪熷疄鐨勫彲榪涜屼氦浜掔殑緋葷粺銆
鐩稿弽錛屼綆浜や簰銍滅綈鍙鍙浠ユā鎷熼儴鍒嗙郴緇熺殑鍔熻兘銆傞珮浜や簰銍滅綈鍜岀湡瀹炵郴緇熶竴鏍峰彲浠ヨ瀹屽叏鏀婚櫡錛屽厑璁稿叆渚佃呰幏寰楃郴緇熷畬鍏ㄧ殑璁塊棶鏉冮檺錛屽苟鍙浠ヤ互姝や負璺蟲澘瀹炴柦榪涗竴姝ョ殑緗戠粶鏀誨嚮銆傜浉鍙嶇殑錛屼綆浜や簰銍滅綈鍙鑳芥ā鎷熼儴鍒嗘湇鍔°佺鍙ｃ佸搷搴旓紝鍏ヤ鏡鑰呬笉鑳介氳繃鏀誨嚮榪欎簺鏈嶅姟鑾峰緱瀹屽叏鐨勮塊棶鏉冮檺銆
浠庡疄鐜版柟娉曚笂鏉ュ垎錛岃湝緗愬彲鍒嗕負鐗╃悊銍滅綈鍜岃櫄鎷熻湝緗愩傜墿鐞嗚湝緗愭槸緗戠粶涓婁竴鍙扮湡瀹炵殑瀹屾暣璁＄畻鏈猴紝鉶氭嫙銍滅綈鏄鐢變竴鍙拌＄畻鏈烘ā鎷熺殑緋葷粺錛屼絾鏄鍙浠ュ搷搴斿彂閫佺粰鉶氭嫙銍滅綈鐨勭綉緇滄祦閲忋

④ 蜜罐技術的簡介

首先我們要弄清楚一台蜜罐和一台沒有任何防範措施的計算機的區別，雖然這兩者都有可能被入侵破壞，但是本質卻完全不同，蜜罐是網路管理員經過周密布置而設下的「黑匣子」，看似漏洞百出卻盡在掌握之中，它收集的入侵數據十分有價值;而後者，根本就是送給入侵者的禮物，即使被入侵也不一定查得到痕跡……因此，蜜罐的定義是:「蜜罐是一個安全資源，它的價值在於被探測、攻擊和損害。」
設計蜜罐的初衷就是讓黑客入侵，藉此收集證據，同時隱藏真實的伺服器地址，因此我們要求一台合格的蜜罐擁有這些功能:發現攻擊、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成，那就是在必要時候根據蜜罐收集的證據來起訴入侵者。 蜜罐是用來給黑客入侵的，它必須提供一定的漏洞，但是我們也知道，很多漏洞都屬於「高危」級別，稍有不慎就會導致系統被滲透，一旦蜜罐被破壞，入侵者要做的事情是管理員無法預料的，例如，一個入侵者成功進入了一台蜜罐，並且用它做「跳板」(指入侵者遠程式控制制一台或多台被入侵的計算機對別的計算機進行入侵行為)去攻擊別人，那麼這個損失由誰來負責?設置一台蜜罐必須面對三個問題:設陷技術、隱私、責任。
設陷技術關繫到設置這台蜜罐的管理員的技術，一台設置不周全或者隱蔽性不夠的蜜罐會被入侵者輕易識破或者破壞，由此導致的後果將十分嚴重。
由於蜜罐屬於記錄設備，所以它有可能會牽涉到隱私權問題，如果一個企業的管理員惡意設計一台蜜罐用於收集公司員工的活動數據，或者偷偷攔截記錄公司網路通訊信息，這樣的蜜罐就已經涉及法律問題了。
對於管理員而言，最倒霉的事情就是蜜罐被入侵者成功破壞了。有人也許會認為，既然蜜罐是故意設計來「犧牲」的，那麼它被破壞當然合情合理，用不著小題大做吧。對，蜜罐的確是用來「受虐」的，但是它同時也是一台連接網路的計算機，如果你做的一台蜜罐被入侵者攻破並「借」來對某大學伺服器進行攻擊，因此引發的損失恐怕只能由你來承擔了。還有一些責任是誰也說不清的，例如，你做的一台蜜罐不幸引來了Slammer、Sasser、Blaster等大名鼎鼎的「爬蟲類」病毒而成了傳播源之一，那麼這個責任誰來負擔? 世界上不會有非常全面的事物，蜜罐也一樣。根據管理員的需要，蜜罐的系統和漏洞設置要求也不盡相同，蜜罐是有針對性的，而不是盲目設置來無聊的，因此，就產生了多種多樣的蜜罐……
3.1.實系統蜜罐
實系統蜜罐是最真實的蜜罐，它運行著真實的系統，並且帶著真實可入侵的漏洞，屬於最危險的漏洞，但是它記錄下的入侵信息往往是最真實的。這種蜜罐安裝的系統一般都是最初的，沒有任何SP補丁，或者打了低版本SP補丁，根據管理員需要，也可能補上了一些漏洞，只要值得研究的漏洞還存在即可。然後把蜜罐連接上網路，根據目前的網路掃描頻繁度來看，這樣的蜜罐很快就能吸引到目標並接受攻擊，系統運行著的記錄程序會記下入侵者的一舉一動，但同時它也是最危險的，因為入侵者每一個入侵都會引起系統真實的反應，例如被溢出、滲透、奪取許可權等。
3.2.偽系統蜜罐
什麼叫偽系統呢?不要誤解成「假的系統」，它也是建立在真實系統基礎上的，但是它最大的特點就是「平台與漏洞非對稱性」。
大家應該都知道，世界上操作系統不是只有Windows一家而已，在這個領域，還有Linux、Unix、OS2、BeOS等，它們的核心不同，因此會產生的漏洞缺陷也就不盡相同，簡單的說，就是很少有能同時攻擊幾種系統的漏洞代碼，也許你用LSASS溢出漏洞能拿到Windows的許可權，但是用同樣的手法去溢出Linux只能徒勞。根據這種特性，就產生了「偽系統蜜罐」，它利用一些工具程序強大的模仿能力，偽造出不屬於自己平台的「漏洞」，入侵這樣的「漏洞」，只能是在一個程序框架里打轉，即使成功「滲透」，也仍然是程序製造的夢境——系統本來就沒有讓這種漏洞成立的條件，談何「滲透」?實現一個「偽系統」並不困難，Windows平台下的一些虛擬機程序、Linux自身的腳本功能加上第三方工具就能輕松實現，甚至在Linux/Unix下還能實時由管理員產生一些根本不存在的「漏洞」，讓入侵者自以為得逞的在裡面瞎忙。實現跟蹤記錄也很容易，只要在後台開著相應的記錄程序即可。
這種蜜罐的好處在於，它可以最大程度防止被入侵者破壞，也能模擬不存在的漏洞，甚至可以讓一些Windows蠕蟲攻擊Linux——只要你模擬出符合條件的Windows特徵!但是它也存在壞處，因為一個聰明的入侵者只要經過幾個回合就會識破偽裝，另者，編寫腳本不是很簡便的事情，除非那個管理員很有耐心或者十分悠閑。 既然蜜罐不是隨隨便便做來玩的，管理員自然就不會做個蜜罐然後讓它賦閑在家，那麼蜜罐做來到底怎麼用呢?
4.1.迷惑入侵者，保護伺服器
一般的客戶/伺服器模式里，瀏覽者是直接與網站伺服器連接的，換句話說，整個網站伺服器都暴露在入侵者面前，如果伺服器安全措施不夠，那麼整個網站數據都有可能被入侵者輕易毀滅。但是如果在客戶/伺服器模式里嵌入蜜罐，讓蜜罐作為伺服器角色，真正的網站伺服器作為一個內部網路在蜜罐上做網路埠映射，這樣可以把網站的安全系數提高，入侵者即使滲透了位於外部的「伺服器」，他也得不到任何有價值的資料，因為他入侵的是蜜罐而已。雖然入侵者可以在蜜罐的基礎上跳進內部網路，但那要比直接攻下一台外部伺服器復雜得多，許多水平不足的入侵者只能望而卻步。蜜罐也許會被破壞，可是不要忘記了，蜜罐本來就是被破壞的角色。
在這種用途上，蜜罐不能再設計得漏洞百出了。蜜罐既然成了內部伺服器的保護層，就必須要求它自身足夠堅固，否則，整個網站都要拱手送人了。
4.2.抵禦入侵者，加固伺服器
入侵與防範一直都是熱點問題，而在其間插入一個蜜罐環節將會使防範變得有趣，這台蜜罐被設置得與內部網路伺服器一樣，當一個入侵者費盡力氣入侵了這台蜜罐的時候，管理員已經收集到足夠的攻擊數據來加固真實的伺服器。
採用這個策略去布置蜜罐，需要管理員配合監視，否則入侵者攻破了第一台，就有第二台接著承受攻擊了……
4.3.誘捕網路罪犯
這是一個相當有趣的應用，當管理員發現一個普通的客戶/伺服器模式網站伺服器已經犧牲成肉雞的時候，如果技術能力允許，管理員會迅速修復伺服器。那麼下次呢?既然入侵者已經確信自己把該伺服器做成了肉雞，他下次必然還會來查看戰果，難道就這樣任由他放肆?一些企業的管理員不會罷休，他們會設置一個蜜罐模擬出已經被入侵的狀態，做起了姜太公。同樣，一些企業為了查找惡意入侵者，也會故意設置一些有不明顯漏洞的蜜罐，讓入侵者在不起疑心的情況下乖乖被記錄下一切行動證據，有些人把此戲稱為「監獄機」，通過與電信局的配合，可以輕易揪出IP源頭的那雙黑手。