蜜罐技术简介
参考:蜜罐使用到实战
侵删
什么是蜜罐
蜜罐(honeypot)用于欺骗攻击者并跟踪攻击者,通过布置一些作为诱饵的主机或网络服务,诱使攻击方对他们实施攻击,从而可以对攻击行为进行捕获和分析
蜜罐的本质是一种主动、欺骗防御技术,如蜜网,蜜云和蜜场等。
从与攻击者交互的角度来看, 蜜罐分为低交互、中交互和高交互三类:
低交互蜜罐无法与攻击者进行交互,例如一个虚假的SSH服务,攻击者输入任意密码都可以登录成功,但无法真正执行命令
高交互蜜罐可以与攻击者进行交互,例如一个运行在Docker里面的真实的SSH服务同时存在弱口令,便于攻击者登录后分析它的行为,此时攻击者可以正常攻击这个SSH服务
中交互蜜罐介于两者之间
从用途的角度看,蜜罐分为研究型和防御型两类:
研究型蜜罐:主要部署在公网上,用于分析攻击者的行为,通过一段时间的观察和分析,可以大概感知近期网络安全态势的变化
防御型蜜罐:主要部署在内网上,用于发现攻击告警并尽可能地溯源。内网蜜罐被触发,说明攻击者已经进入到了内网中