admin管理员组

文章数量:1590896

2024年5月15日发(作者:)

蜜罐技术

背景描述

针对目前网络严重的安全威胁,网络安全人员和管理员却仍然对黑客社团所知甚少。

当网络被攻陷破坏后,甚至还不知道幕后黑手是谁。对他们使用了哪些工具、以何种方式

达成攻击目标,以及为什么进行攻击更是一无所知。“知己知彼,百战不殆”,安全防护

工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,

都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心

理和习惯等。只有在充分了解对手的前提下,安全技术人员和网络管理员才能更有效地维

护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。

工作原理

1.蜜罐

蜜罐(Honeypot)是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那

些试图非法闯入他人计算机系统的人而设计的。蜜罐系统是一个包含漏洞的诱骗系统,它

通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。

此外,蜜罐也可以为追踪攻击者提供有力的线索,为起诉攻击者搜集有力的证据。

简单地说,蜜罐就是诱捕攻击者的一个陷阱。

一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、

Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、 Specter 等一些商业蜜

罐产品。

这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作

系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也

使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客

识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用

程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工

具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜

网中的黑客并对他们的攻击行为进行分析。

蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。

产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造

成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而

且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工

具和KFSensor、ManTraq 等一系列的商业产品。

研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻

击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,

甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要研究

人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组”

所推出的第二代蜜网技术。

本文标签: 蜜罐攻击工具攻击者人员

版权声明:本文标题:蜜罐技术讲解 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1715779652a469850.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。