Honeypot是一个连接网络的系统,用作网络攻击者的陷阱,可以检测和研究黑客使用的技巧和攻击类型。它充当Internet上的潜在目标,并将有关信息系统的任何未经授权的尝试通知防御者。
蜜罐主要由参与网络安全的大型公司和组织使用。它可以帮助网络安全研究人员了解攻击者使用的不同类型的攻击。怀疑甚至是网络犯罪分子也使用这些蜜罐来诱骗研究人员并传播错误的信息。
蜜罐的成本通常很高,这是因为蜜罐需要专门的技能和资源来实施系统,以使蜜罐看起来像是为组织提供的资源,仍然可以防止后端的攻击和对任何生产系统的访问。
蜜网是网络上两个或多个蜜罐的组合。
蜜罐的类型:
蜜罐根据其部署和入侵者的参与进行分类。
根据部署情况,蜜罐分为:
- 研究蜜罐-研究人员使用这些蜜罐来分析黑客攻击,并采用不同的方式来防止这些攻击。
- 生产蜜罐-生产蜜罐与服务器一起部署在生产网络中。这些蜜罐充当攻击者的前端陷阱,由虚假信息组成,并给管理员以时间来改善实际系统中的任何漏洞。
基于交互,蜜罐分为:
- 低交互性蜜罐:低交互性蜜罐几乎没有给黑客提供有关网络的洞察力和控制力。它仅模拟攻击者经常请求的服务。主操作系统不参与低交互系统,因此风险较低。它们需要的资源非常少,并且易于部署。这些蜜罐的唯一缺点在于,有经验的黑客可以轻松地识别并避免这些蜜罐。
- 中度互动蜜罐:与低度互动蜜罐相比,中度互动蜜罐可为黑客提供更多活动。他们可以期望某些活动,并且可以给出某些响应,而这些响应超出了低交互蜜罐所能提供的范围。
- 高互动度蜜罐:高互动度蜜罐提供了一个较大的数字。因此,向黑客提供服务和活动的方法浪费了黑客的时间,并试图获取有关黑客的完整信息。这些蜜罐涉及实时操作系统,因此,如果黑客识别出蜜罐,则风险较高。高交互性蜜罐也非常昂贵,并且实现起来很复杂。但这为我们提供了有关黑客的大量信息。
蜜罐的优点:
- 充当丰富的信息源,并有助于收集实时数据。
- 即使使用加密也可以识别恶意活动。
- 浪费黑客的时间和资源。
- 提高安全性。
蜜罐的缺点:
- 与生产系统区分开来,有经验的攻击者可以轻松地识别它。
- 由于视野狭窄,它只能识别直接攻击。
- 受到攻击的蜜罐可用于攻击其他系统。
- 指纹识别(攻击者可以识别蜜罐的真实身份)。
参考:
- https://zh.wikipedia.org/wiki/蜜罐_(计算)