admin管理员组

文章数量:1530518

2024年5月15日发(作者:)

一.蜜罐是什么

蜜罐,是Honeypot的中文译名。这是一种颇具神秘感的安全技术,很难给蜜罐下一

个具体的定义。蜜罐与大部分传统的安全机制(如防火墙、入侵检测系统等)有很大不同,

它是一种供攻击者攻击从而产生价值的安全设施,也就是说蜜罐只有在受到攻击情况下才

能展现出价值,而不是在避开或阻止那些攻击的时候。

给蜜罐下一个相对通用的定义就是:蜜罐是一种安全资源,其价值体现在被探测、攻

击或者摧毁的时候。这就意味着无论我们将何指定为蜜罐,其目标就是被别人探测、攻击

(甚至被攻破)。而这种资源究竟是什么倒没什么关系。如果系统从未被探测或攻击过,那

么价值就很有限或者根本没有了。这正是大部分产品系统的对立面,一般大家都不会希望

它们被探测或者攻击。

蜜罐为我们提供了一个优势,那就是进攻的能力。从传统意义上说,主动权往往都掌

握在攻击者手中。他们控制着攻击的对象、时间和方式。在安全界所能做的只有防御:制

定安全措施、防止攻击者攻入,然后随时检测这些预防措施是否失效。蜜罐的出现却赋予

了安全界人员取得主动权的能力。

蜜罐与大部分安全工具的不同之处在于:它们可以具有不同的表现形式。目前所用的

大部分安全技术都是针对特定问题的解决而设计的。譬如,防火墙是一种通过控制何种流

量可以向何处流动来保护组织的技术。它们用作一种访问控制设备。我们通常将防火墙部

署在组织的边界,以阻断未经授权的访问。网络入侵检测系统则通过对系统或者网络活动

的监视来进行攻击检测。它们用于识别那些未经授权的活动。而蜜罐并不限于解决某个具

体问题。相反,这是一种可应用于大量不同场合的高度灵活的工具。这就是蜜罐乍一看让

人觉得很模糊的原因所在,因为可以使用它们实现很多不同的目标,并且其形式也是形形

色色。譬如,蜜罐可以用于阻止攻击,这是一种和防火墙类似的目的;可以用于检测攻击,

这类似于入侵检测系统的功能;可以用于捕获和分析自动化的攻击(如蠕虫);可以充当先

期的指示或者预警传感器;还可以研究黑客界的活动、捕获攻击者们击键信息或者对话信

息的能力。

二.蜜罐的运作方式

蜜罐是一种毫无产品价值可言的安全资源;没有任何人或者资源应该和它们通信。因

此,从本质上说任何发送给它们的活动都会受到怀疑。任何发送给它们的流量都很有可能

是一次探测、扫描或者攻击。由蜜罐所启动的任何流量都意味着系统很有可能被攻破了,

并且攻击者正在进行出境连接。

三.模拟场景

如图9-1-1所示,该图描述了一家企业网络环境,在边界防火墙设置了满足企业要求

的安全策略,充分保护了企业DMZ区服务器与内部网络。

本文标签: 蜜罐攻击检测系统攻击者

版权声明:本文标题:蜜罐 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1715780207a469874.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。