前言
原始的攻击,总是攻击者处于主动地位,防御者处于被动地位,蜜罐和蜜网可以扭转对抗不对称局面。蜜罐就像一个专门为攻击者设计的陷阱,只要攻击者进入陷阱,攻击者所作的一切操作都会被记录下来,这些攻击行为记录对攻击者来说会有一定的威慑作用。
1、蜜罐的作用
从前言里大概可以了解到蜜罐是干什么的,蜜罐的作用可以总结为如下几点:
1、增加攻击者攻击成本,攻击的是蜜罐模拟出来的假目标。
2、使用蜜罐可以捕获攻击者是谁、使用什么工具、怎么攻击的,借此推导出攻击原因。
3、降低资产损失,而且蜜罐记录的攻击行为可以作为证据,对攻击者产生威慑。
所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷。蜜罐就像是一个陷阱,正常人谁来这啊?用以监视、检测和分析攻击。蜜罐和蜜网就是防御者为攻击者精心准备的会战之地。
2、蜜罐的分类
角度不同,蜜罐分类也会有所不同。
从部署目标角度分类
- 产品型
- 研究型:对黑客攻击进行捕获和分析
从交互性角度分类:攻击者在蜜罐中活动的交互性级别
- 低交互型:仿真效果不好,但是攻击者获取不到更有用的信息,减少风险。实例:Dionaea, Honeyd, KFSensor。
- 高交互型:能够做到以假乱真,让攻击者以为这就是一个真的系统。但是系统模拟的越真,攻击者能获取到的信息也就越多,需要取舍。实例:Shadow Daemon, Lyrebird。
- 混合型
还有新型蜜罐
- 主动式蜜罐:钓鱼执法。
- 动态蜜罐:即插即用的解决方案;自动调整。
- 被动指纹识别技术:了解所处的网络环境。
- 动态配置:虚拟蜜罐。
- 蜜场:honeyfarm,有很多很多漏洞的大型网络。
- 蜜信:honeytoken。留下蜜信的线索。
- 应用层蜜罐:honeyapp
- 模拟应用程的服务对非自动化的攻击更具吸引力。
- 在应用层能够更有效地对攻击进行分析。
- 客户端蜜罐:honeyclient
- 模拟客户端去捕获攻击客户端得到攻击。
3、蜜罐的重定向机制
对高价值目标映射蜜罐系统。
不需创建新的目标,而使用已存在的目标。
将恶意的、未经授权的活动重定向到蜜罐。
监视和捕获攻击者在蜜罐中的活动。
计算机取证技术。
什么时候重定向
- 非预期的流量-Hot Zoning
- 非业务目标端口
- 非业务源端口
- Time of day
- 已知攻击-Bait-n-Switch
- Snort的修改版本,内联网关
- 将检测到活动重定向到蜜罐中
- 基于主机的监控
- 监控主机上的未授权活动、或恶意活动,然后重定向:Pax, Systrace
4、蜜罐的欺骗性
-
真实的系统环境
- 系统标识
- IP、traceroute路径(如果连这些命令都没有,可以考虑这是一个蜜罐。)
- 主机名、操作系统内核版本(用的系统版本过于离谱,也可以考虑这是一个蜜罐。)
- 系统标识
-
系统配置和应用程序
- 开放的网络服务
- 安装的应用程序,比如这个环境里什么软件都没有,连浏览器也没有或者浏览器记录为空,也可以考虑这是一个蜜罐环境。
-
数据内容
- Proxy and Cache ,一些常用软件会有缓存,如果连缓存都没有或者十天半个月都没有新增缓存,可以考虑这是一个蜜罐。
综合以上多个维度,防御者可以加强蜜罐的欺骗性,而攻击者也可以从这些点去判断是否是蜜罐。
5、蜜信
蜜信HoneyToken
HoneyToken:正常情况不会使用的一些诱饵信息
- 数据库诱饵记录
- 伪造的弱用户名/口令对
如果HoneyToken一旦被访问,预示着攻击发生,对它进行监视跟踪。钓鱼执法。
6、其他
基于完整性测试判断是否遭受攻击:
- 程序本身
- 配置文件、注册表等
攻击面Attack Surface
系统中可被利用、遭受攻击的系统资源集合
- 攻击目标
- 通道和协议
- 访问控制
异构同效
原理:相当于是动态防御了,比如一个模块使用不同的方案实现,使用的时候随机使用某一个方案,以此来增大攻击者的攻击成本。
动态攻击 Moving Target Attacks MTA
多态: 改变恶意代码的签名,躲避杀软检测。
变形:恶意代码运行时自我修改,躲避杀软检测。
混淆:降低代码可读性,隐藏关键代码逻辑,对抗逆向工程。
自加密:用加密手段达到多态、变形和混淆等价效果。
反沙箱/沙盒:识别动态取证环境并在运行时改变关键代码逻辑。
反调试:识别调试环境并在运行时改变关键代码逻辑。
加密漏洞利用载荷:用加密手段达到对抗检测与取证分析目的。
蜜罐基本体系架构
决策:监听收集事件,根据策略与欺骗、诱导信息库中的记录进行比较后决定诱导或欺骗。
诱导:将攻击者的连接转向蜜罐系统
欺骗:误导
分析:系统所作的欺骗和诱导事件都记录到日志中,由分析模块进行分析,调整欺骗诱导策略。
蜜网技术的数据捕获的数据流
蜜罐拦截的一些信息
文章来源:https://www.toymoban.com/news/detail-422511.html
7、参考资料
以上内容是一边听课(蜜罐和蜜网)一边总结,对蜜罐和蜜网有了一个基础认识。对攻击者和防守方也有了一个清晰的认识,两者之间的博弈有三国谋士的味道了,非常精彩。文章来源地址https://www.toymoban.com/news/detail-422511.html
到了这里,关于【网络安全】什么是蜜罐和蜜网的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
