【每天学习一点新知识】网安人口中的蜜罐是指什么

目录

1、什么是蜜罐？

2、蜜罐的几种工作方式

 3、沙箱和蜜罐的区别

4、公网蜜罐与内网蜜罐侧重点的区别

5、使用蜜罐的好处

一个接入互联网的网站，只要能和外部产生通信，就有被黑客攻击的可能——就像飞机在控制无法关停发动机一样。但是网站能像飞机发射红外诱饵一样，用某种陷阱来引诱攻击者，就可以达到自身不被攻击的目的。而这种陷阱，就是我们俗称的“蜜罐”。 

1、什么是蜜罐？

        站在攻击者角度蜜罐就是一台主机或者说一个互联网资产，例如一个数据库、一个web网站、一个服务等
        站在防御者角度蜜罐就是一个启动在主机上的服务，或者说一个docker镜像，它承担着牺牲自己来获取攻击者数据的作用，大多数情况的蜜罐本身并没有什么攻击作用，更多是一种信息收集兼“挨打”的设备，换句话说，就是为了诱使黑客对其进行攻击，然后对其的行为进行记录并声称日志，通过对蜜罐收集到对日志进行人工或者自动化的分析来得到对网络环境中的威胁情况感知。

2、蜜罐的几种工作方式

电子邮件蜜罐，其实就是一些被故意放出来的邮箱账号，这些账号一般只能被扫描器发现，正常用户是不会给这些邮箱发邮件的，当邮箱蜜罐收到邮件的时候就将发件人标记，然后以后属于被标记的发件人的邮件全部当垃圾邮件丢弃，并且发件人的源ip可以被加入黑名单中。

数据库蜜罐，用来监控攻击者对数据库的攻击命令或发现利用sql注入进行的攻击。运营人员可以将访问次数据库的所有ip直接ban掉。

爬虫蜜罐，这种蜜罐只有爬虫才能够访问到，而正常用户无法看到的链接。例如源代码中一个被注释掉的url等。通过爬虫蜜罐可以抓取到那些正在对公司资产进行扫描等爬虫并进行分析与封禁。

脆弱应用蜜罐，比如在内网或者公网部署一个含有一个jenkins未授权的漏洞的蜜罐来捕获扫描器行为与攻击者的攻击行为，并将蜜罐隔离起来防止攻击者利用蜜罐进行横移，将攻击者困在其中并记录其行为与ip。
 

 3、沙箱和蜜罐的区别

        在日常网络安全监测过程中，所有可疑的软件或文档一般都应将其在沙箱中运行一遍，如果发现恶意行为，则可以禁止程序在其常环境中的进一步运行，但是沙箱仅观测到恶意行为。

        而蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中。当入侵者绕过安全防线时，蜜罐会真实记录入侵者的一举一动，会对其行为进行分析，并发出实时攻击警告，管理员可依据完整的攻击记录，采取针对性的防御和反制措施。

4、公网蜜罐与内网蜜罐侧重点的区别

        对于内网来说，常见的攻击手段包括网络嗅探、资产探测/端口扫描、暴力破解、拒绝服务、ARP攻击、DNS劫持、漏洞利用（redis未授权访问、jboss配置不当导致的rce等）等，且内网的攻击手段是随着服务种类的增多不断增加的。

        我们需要做的，是发现内网中的异常行为/攻击行为。相比外网来说，无需收集0day、无需分析恶意ip、对接威胁情报等，所以我们不需要高交互类型的蜜罐，在内网中低交互的蜜罐能满足我们的需求。

        所谓低交互蜜罐，就是通过模拟服务，监听端口连接并记录数据包，可以实现端口扫描和暴力破解的检测等。低交互蜜罐通常会模仿少量的互联网协议和网络服务，足以欺骗攻击者让他们认为自己连接的是真实系统而非蜜罐。

        高交互蜜罐提供真实的操作系统和真实的服务，不只是简单地模拟某些协议或服务，而是提供真实的攻击系统，使得攻击者猜测他们被转移或观察的可能性大大降低。且以系统为诱饵可以捕获更多攻击者的行为。因此，这种蜜罐的交互性最强，收集到的数据也最全面。

5、使用蜜罐的好处

1. 批量获取恶意ip，且准确率高，因为能访问蜜罐的ip都是恶意ip
2. 节省资源
3. 相比较于常规的IDS（入侵检测系统），误报率小的多
4. 捕获到更多攻击者的信息，收集的信息更全面
5. 可以轻易捕获内部威胁
6. 放置一些诱饵信息进而浪费黑客的攻击时间，甚至达到反制黑客主机的效果

当然，蜜罐只是一个诱饵，存在被攻破的可能，企业也不可能完全依赖其来检测黑客入侵，蜜罐永远无法代替IDS与防火墙等基础防御设备。