网络蜜罐的前世今生
|
副标题[/!--empirenews.page--]
一个接入互联网的网站,只要能和外部产生通信,就有被黑客攻击的可能;使用某种陷阱来引诱攻击者,就可以避免自身不被攻击,这种引诱黑客攻击的 “陷阱” 就是 “蜜罐” 。蜜罐是存在漏洞的、暴漏在互联网中的一个虚假的服务(器) 其价值在于被扫描、攻击和攻陷。
蜜罐分类 按类型我们可以将蜜罐分为:产品型 (容易部署 、 实时报警),研究型(高交互、数据捕获);按交互可分为低中交互(模拟的 TCP/IP 协议栈、模拟的服务 & 漏洞),高交互( 真实的系统 & 应用 & 漏洞,数据捕获、分析、控制)。 蜜罐主要优势 蜜罐的主要优势在于能诱导和记录网络攻击行为,阻止或延缓其对真正目标的攻击,而且能记录攻击日志,便于审计和回溯。 蜜罐起源 ”蜜罐“ 这一概念最早起源于一本上世纪出版的小说——《The Cuckoo's Egg》 ,小说描述了主人公作为一个公司的网管人员,如何追踪并发现一起商业间谍的故事,该书的作者 CliffordStoll 还是个计算机安全专家,他在 1988 年提出 “蜜罐是一个了解黑客的有效手段” 。
在这一概念被提出 10 年后,蜜罐思想吸引到一匹网络安全技术员的注意,同时也开发出一批相应的虚拟蜜罐产品,该阶段的 “蜜罐工具” 能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
低交互式蜜罐不足 该阶段的蜜罐为低交互式蜜罐,只是模拟出了真正操作系统的一部分,例如模拟一个 FTP 服务。虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。 蜜罐发展 为了获取更多攻击者信息,于是有人就提出一些设想: 如果用蜜罐获取到更多的攻击者信息,比如攻击者的 IP,就可以对攻击来源打上标记,这样一来就可以直接防御来自被标记的攻击。 在这种思想的引领下,衍生出了一种高交互蜜罐。高交互蜜罐提供真实的操作系统和真实的服务,因此,这种蜜罐的交互性最强,收集到的数据也最全面。 更多开源 “蜜罐” 可见以下列表链接: https://github.com/paralax/awesome-honeypots/blob/master/README_CN.md 1. 高交互蜜罐风险与挑战 高交互蜜罐部署和维护起来十分困难,而且被攻破的系统可能会被用来攻击互联网上其他的系统,这必须承担很高的风险,数据收集也是设置蜜罐的技术挑战。
2. 高交互蜜罐优点 它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就更加容易。 蜜罐现状 随着新型的 APT 攻击的出现,很多企业意识到传统安全技术手段已经无法满足对内部威胁的及时发现,于是,很多传统的安全公司大佬都开始转战使用动态沙箱技术来解决问题,来探测未知威胁。
以上方式主要是针对 APT 攻击的第一个环节,黑客通过社会工程学的手段得到用户的信息,使用网络钓鱼或者水坑攻击的方式进入企业内网个人 PC。但是要拿到有价值的内部敏感信息,黑客需要进一步部署攻击链,包括获取凭证、内网资产扫描等探测工作,因为很多行业包括金融机构是不允许在业务服务器上安装安全解决方案的,甚至配置日志系统都不可以,那么,目前部署蜜罐是最好的解决方案。 蜜罐作为一种解决方案,其开源产品和商用产品的不同特性、国内外的成熟的商业蜜罐解决方案介绍、蜜罐所涉及的核心技术分析,可见: 为什么这么多创业公司都在做「蜜罐」? https://www.secpulse.com/archives/50235.html 蜜罐部署实战 1. 内网低交互蜜罐-opencanary opencanary 是 2015 年 blackhat 在单独发布环节推出的的一款蜜罐工具,纯 python 模拟多种应用和服务。当模拟的服务被某人使用(交互登录)时,它就会产生相应的日志。 项目地址:https://github.com/p1r06u3/opencanary_web 实验环境:
部署: 部署方式有,自动化安装和手工安装,手工安装需要自己进行 tornado、Mysql、 supervisor、opencanary,这里采用自动化安装方式。 (编辑:源码网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
