蜜罐技术讲解 .pdfVIP

蜜罐技术

背景描述

针对目前网络严重的安全威胁，网络安全人员和管理员却仍然对黑客社团所知甚少。当

网络被攻陷破坏后，甚至还不知道幕后黑手是谁。对他们使用了哪些工具、以何种方式达成

攻击目标，以及为什么进行攻击更是一无所知。“知己知彼，百战不殆”，安全防护工作者，

无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员，都需要首先

对黑客社团有深入的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。

只有在充分了解对手的前提下，安全技术人员和网络管理员才能更有效地维护互联网安全。

而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。

工作原理

1.蜜罐

蜜罐(Honeypot)是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试

图非法闯入他人计算机系统的人而设计的。蜜罐系统是一个包含漏洞的诱骗系统，它通过模

拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

此外，蜜罐也可以为追踪攻击者提供有力的线索，为起诉攻击者搜集有力的证据。

简单地说，蜜罐就是诱捕攻击者的一个陷阱。

一些专门用于欺骗黑客的开源工具，如FredCohen所开发的DTK(欺骗工具包)、Niels

Provos开发的Honeyd等，同时也出现了像KFSensor、Specter等一些商业蜜罐产品。

这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系

统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得

部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等

问题，从2000年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建

蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将

蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并

对他们的攻击行为进行分析。

蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。

产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成

破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不

需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和

KFSensor、ManTraq等一系列的商业产品。

研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击

进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚

至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员

投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组”所推出

的第二代蜜网技术。

蜜罐技术的优点：

（1）收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据

很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐不依赖于

任何复杂的检测技术等，因此减少了漏报率和误报率。

（2）使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入

侵检测系统只能根据特征匹配的方法检测到已知的攻击。

（3）蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不

需要大量的资金投入。

（4）相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较

容易地掌握黑客攻击的一些知识。

蜜罐技术的缺陷：

（1）需要较多的时间和精力投入。

（2）蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限，不像

入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。

（3）蜜罐技术不能直接防护有漏洞的信息系统。

（4）部署蜜罐会带来一定的安全风险。

部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对

第三方发起攻击。

2.蜜网

蜜网是在蜜罐技术上逐