蜜罐的定義

首先我們要弄清楚一臺(tái)蜜罐和一臺(tái)沒(méi)有任何防范措施的計(jì)算機(jī)的區(qū)別，雖然這兩者都有可能被入侵破壞，但是本質(zhì)卻完全不同，蜜罐是網(wǎng)絡(luò)管理員經(jīng)過(guò)周密布置而設(shè)下的“黑匣子”，看似漏洞百出卻盡在掌握之中，它收集的入侵?jǐn)?shù)據(jù)十分有價(jià)值；而后者，根本就是送給入侵者的禮物，即使被入侵也不一定查得到痕跡……因此，蜜罐的定義是：“蜜罐是一個(gè)安全資源，它的價(jià)值在于被探測(cè)、攻擊和損害。”

設(shè)計(jì)蜜罐的初衷就是讓黑客入侵，借此收集證據(jù)，同時(shí)隱藏真實(shí)的服務(wù)器地址，因此我們要求一臺(tái)合格的蜜罐擁有這些功能：發(fā)現(xiàn)攻擊、產(chǎn)生警告、強(qiáng)大的記錄能力、欺騙、協(xié)助調(diào)查。另外一個(gè)功能由管理員去完成，那就是在必要時(shí)候根據(jù)蜜罐收集的證據(jù)來(lái)起訴入侵者。

涉及的法律問(wèn)題

蜜罐是用來(lái)給黑客入侵的，它必須提供一定的漏洞，但是我們也知道，很多漏洞都屬于“高危”級(jí)別，稍有不慎就會(huì)導(dǎo)致系統(tǒng)被滲透，一旦蜜罐被破壞，入侵者要做的事情是管理員無(wú)法預(yù)料的，例如，一個(gè)入侵者成功進(jìn)入了一臺(tái)蜜罐，并且用它做“跳板”（指入侵者遠(yuǎn)程控制一臺(tái)或多臺(tái)被入侵的計(jì)算機(jī)對(duì)別的計(jì)算機(jī)進(jìn)行入侵行為）去攻擊別人，那么這個(gè)損失由誰(shuí)來(lái)負(fù)責(zé)？設(shè)置一臺(tái)蜜罐必須面對(duì)三個(gè)問(wèn)題：設(shè)陷技術(shù)、隱私、責(zé)任。

設(shè)陷技術(shù)關(guān)系到設(shè)置這臺(tái)蜜罐的管理員的技術(shù)，一臺(tái)設(shè)置不周全或者隱蔽性不夠的蜜罐會(huì)被入侵者輕易識(shí)破或者破壞，由此導(dǎo)致的后果將十分嚴(yán)重。

由于蜜罐屬于記錄設(shè)備，所以它有可能會(huì)牽涉到隱私權(quán)問(wèn)題，如果一個(gè)企業(yè)的管理員惡意設(shè)計(jì)一臺(tái)蜜罐用于收集公司員工的活動(dòng)數(shù)據(jù)，或者偷偷攔截記錄公司網(wǎng)絡(luò)通訊信息，這樣的蜜罐就已經(jīng)涉及法律問(wèn)題了。

對(duì)于管理員而言，最倒霉的事情就是蜜罐被入侵者成功破壞了。有人也許會(huì)認(rèn)為，既然蜜罐是故意設(shè)計(jì)來(lái)“犧牲”的，那么它被破壞當(dāng)然合情合理，用不著小題大做吧。對(duì)，蜜罐的確是用來(lái)“受虐”的，但是它同時(shí)也是一臺(tái)連接網(wǎng)絡(luò)的計(jì)算機(jī)，如果你做的一臺(tái)蜜罐被入侵者攻破并“借”來(lái)對(duì)某大學(xué)服務(wù)器進(jìn)行攻擊，因此引發(fā)的損失恐怕只能由你來(lái)承擔(dān)了。還有一些責(zé)任是誰(shuí)也說(shuō)不清的，例如，你做的一臺(tái)蜜罐不幸引來(lái)了Slammer、Sasser、Blaster等大名鼎鼎的“爬蟲(chóng)類”病毒而成了傳播源之一，那么這個(gè)責(zé)任誰(shuí)來(lái)負(fù)擔(dān)？

蜜罐的類型

世界上不會(huì)有非常全面的事物，蜜罐也一樣。根據(jù)管理員的需要，蜜罐的系統(tǒng)和漏洞設(shè)置要求也不盡相同，蜜罐是有針對(duì)性的，而不是盲目設(shè)置來(lái)無(wú)聊的，因此，就產(chǎn)生了多種多樣的蜜罐……

1.實(shí)系統(tǒng)蜜罐

實(shí)系統(tǒng)蜜罐是最真實(shí)的蜜罐，它運(yùn)行著真實(shí)的系統(tǒng)，并且?guī)е鎸?shí)可入侵的漏洞，屬于最危險(xiǎn)的漏洞，但是它記錄下的入侵信息往往是最真實(shí)的。這種蜜罐安裝的系統(tǒng)一般都是最初的，沒(méi)有任何SP補(bǔ)丁，或者打了低版本SP補(bǔ)丁，根據(jù)管理員需要，也可能補(bǔ)上了一些漏洞，只要值得研究的漏洞還存在即可。然后把蜜罐連接上網(wǎng)絡(luò)，根據(jù)目前的網(wǎng)絡(luò)掃描頻繁度來(lái)看，這樣的蜜罐很快就能吸引到目標(biāo)并接受攻擊，系統(tǒng)運(yùn)行著的記錄程序會(huì)記下入侵者的一舉一動(dòng)，但同時(shí)它也是最危險(xiǎn)的，因?yàn)槿肭终呙恳粋€(gè)入侵都會(huì)引起系統(tǒng)真實(shí)的反應(yīng)，例如被溢出、滲透、奪取權(quán)限等。

2.偽系統(tǒng)蜜罐

什么叫偽系統(tǒng)呢？不要誤解成“假的系統(tǒng)”，它也是建立在真實(shí)系統(tǒng)基礎(chǔ)上的，但是它最大的特點(diǎn)就是“平臺(tái)與漏洞非對(duì)稱性”。

大家應(yīng)該都知道，世界上操作系統(tǒng)不是只有Windows一家而已，在這個(gè)領(lǐng)域，還有Linux、Unix、OS2、BeOS等，它們的核心不同，因此會(huì)產(chǎn)生的漏洞缺陷也就不盡相同，簡(jiǎn)單的說(shuō)，就是很少有能同時(shí)攻擊幾種系統(tǒng)的漏洞代碼，也許你用LSASS溢出漏洞能拿到Windows的權(quán)限，但是用同樣的手法去溢出Linux只能徒勞。根據(jù)這種特性，就產(chǎn)生了“偽系統(tǒng)蜜罐”，它利用一些工具程序強(qiáng)大的模仿能力，偽造出不屬于自己平臺(tái)的“漏洞”，入侵這樣的“漏洞”，只能是在一個(gè)程序框架里打轉(zhuǎn)，即使成功“滲透”，也仍然是程序制造的夢(mèng)境——系統(tǒng)本來(lái)就沒(méi)有讓這種漏洞成立的條件，談何“滲透”？

實(shí)現(xiàn)一個(gè)“偽系統(tǒng)”并不困難，Windows平臺(tái)下的一些虛擬機(jī)程序、Linux自身的腳本功能加上第三方工具就能輕松實(shí)現(xiàn)，甚至在Linux/Unix下還能實(shí)時(shí)由管理員產(chǎn)生一些根本不存在的“漏洞”，讓入侵者自以為得逞的在里面瞎忙。實(shí)現(xiàn)跟蹤記錄也很容易，只要在后臺(tái)開(kāi)著相應(yīng)的記錄程序即可。

這種蜜罐的好處在于，它可以最大程度防止被入侵者破壞，也能模擬不存在的漏洞，甚至可以讓一些Windows蠕蟲(chóng)攻擊Linux——只要你模擬出符合條件的Windows特征！但是它也存在壞處，因?yàn)橐粋€(gè)聰明的入侵者只要經(jīng)過(guò)幾個(gè)回合就會(huì)識(shí)破偽裝，另者，編寫(xiě)腳本不是很簡(jiǎn)便的事情，除非那個(gè)管理員很有耐心或者十分悠閑。

蜜罐的內(nèi)容通過(guò)以上的介紹不知道大家了解了沒(méi)有，我們?cè)谝郧暗奈恼轮幸呀?jīng)向大家介紹了很多，希望大家多多掌握。更多請(qǐng)看：電腦特技與虛擬演員--計(jì)算機(jī)蜜罐技術(shù) 上篇 和 電腦特技與虛擬演員--計(jì)算機(jī)蜜罐技術(shù) 下篇

【編輯推薦】

1. 實(shí)例解析蜜罐技術(shù)
2. 深入解析蜜罐技術(shù)之概念介紹
3. 解析蜜罐的配置模式和信息收集