🤩🤩🤩
To 个人主页 关注不迷路 😙😙😙
蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。
对蜜罐的不当使用,可能会涉及一些法律问题。
设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。
蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题。
若蜜罐被入侵者成功破坏了,且被当作肉鸡攻击互联网的设备,会存在法律责任问题。
也就是说,一般会给每个蜜罐打上这样的标语:“使用该系统的任何人同意自己的行为受到监控,并透露给其他人,包括执法人员。”
一般可以按照交互类型、蜜罐作用点对蜜罐的种类进行划分。
低交互蜜罐,特点:
高交互蜜罐,特点:
纯蜜罐,特点:
纯蜜罐和真实业务系统功能上一致,但是会在其外部加入监测记录功能。
误报少
正常情况下,一个真正的用户是不会主动访问蜜罐的。话句话说,所有被蜜罐抓取到 IP 地址,都是可疑 IP。这一点,与传统的入侵检测系统 (IDS) 形成鲜明对比。
资源消耗少
由于蜜罐处理的流量非常有限,它们也非常节省资源。
观察攻击模式
蜜罐可以提供有关威胁如何进化的可靠情报。
捕获内部威胁
威胁不一定仅来自互联网,也能是内部网络,可以捕获内部威胁。
指纹固定
一旦蜜罐被“采指纹”,攻击者便可以进行欺骗性攻击以转移注意力,而以真正的生产系统为目标进行攻击。
跳板
一个被攻陷的蜜罐可以用作进一步入侵的踏板。
Web 蜜罐按照作用点归类属于应用层蜜罐。
在 Web 安全攻防对抗中,攻击模式一般分为两种:非定向 Web 攻击和定向 Web 攻击。
非定向 Web 攻击
定向 Web 攻击
在 Web 应用开发领域有一种著名的架构模式叫做 MVC,它将 Web 应用系统分为模型层(Model)、控制器层(Controller)和视图层(View)。
视图层蜜罐技术指的是诱骗或监测发生在视图层及以上的技术形态,主要表现为各类具有模拟功能的低交互 Web 蜜罐、记录 HTTP 流量类型的纯蜜罐、Web 中间件类型蜜罐、反向代理类型蜜罐等。
Glastopf。低交互 Web 蜜罐,它通过各种 Web 漏洞类型模拟器模拟各类 Web 漏洞。HFish 蜜罐平台。基于 Nginx 中间件开发的插件,可以实现将任意站点转化为蜜罐。控制器层蜜罐技术的诱骗或监测发生在视图层之下、数据层之上,主要包括各类高交互 Web 蜜罐、网站影子系统等。
HIHAT 可以将现有的 PHP 应用转化为一个高交互蜜罐。数据层蜜罐技术偏向于数据层面的诱骗和监测,主要包括数据库蜜罐、数据蜜饵等。
NoSQLpot 是一个 NoSQL 蜜罐框架。开源的蜜罐,一般都意味着它的指纹是固定的、或可以被枚举的,很容易被攻击者识别。
若一个组织自己做一套仿真蜜罐,需要投入人员、开发资源、部署资源等,代价较大。
做好一个优秀的低交互 Web 蜜罐的难点:
非定向 Web 攻击,可否通过一种随机算法,动态生成一个低交互蜜罐。定向 Web 攻击,蜜罐需要以假乱真,肉眼看起来像是一个真正的业务系统。