蜜罐是什么？黑客又为什么讨厌蜜罐？

难道您不希望黑客能够尝到自己的恶果？试试给他们蜜罐——他们无法抗拒的甜蜜诱饵。但蜜罐是什么？其运作原理为何？请继续阅读以了解更多资讯。

蜜罐是什么？

蜜罐（honeypot）是由应用程式和资料组成的电脑或电脑系统，目的是作为诱饵来引诱不法份子。其被设定为看起来像具有可利用漏洞的真实系统。

唯一的区别在于，其实际上独立于网络的其他部分，并受到严密监控。黑客并不知道这一点。因此，他们会被吸引到这些系统，就如同花蜜吸引蜜蜂一样。而箇中蹊跷为何？

蜜罐有助于侦测攻击，使其从更有价值的目标上转移，并收集有关网络犯罪份子和其策略的资讯。其可以揭露：

• 黑客的IP 位址和位置。这可能会暴露其位置或身份，除非黑客有使用VPN 或代理伺服器。
• 黑客用于存取蜜罐的密码类型。也许他们使用了外泄的密码，是时候将您的密码更新为高强度的唯一密码了。
• 用于入侵蜜罐的技术，这可以揭开系统和网页伺服器的漏洞。
• 被盗档案的去向。蜜罐可以储存具有独特辨识属性的资料，（在被盗时）可以协助其所有者找到资料的最终去向。其还有助于辨识不同黑客之间的联系。

因此，蜜罐是大型企业和安全研究人员会使用的优质欺骗性工具。联邦调查局（FBI）对蜜罐的使用也广为人知。有许多蜜罐的设定大多为免费和开源。某些可以模拟伺服器并协助分析资料，从而省去对大型研究团队的需求。

蜜罐的类型

蜜罐可以依据使用对象和主要目标进行分类。

研究型蜜罐（Research honeypots）主要使用者为安全研究人员、军队和政府。其非常复杂，可提供研究和分析黑客活动及其在蜜罐中的进展所需的重要资讯。这有助于研究人员辨识安全漏洞，并找到新的防范方法。

产品型蜜罐（Production honeypots）的使用者通常为企业。其通常设定在生产系统中，并作为入侵侦测系统（IDS）的一部分，该系统有助于监测恶意活动。其较不复杂，提供的资讯也较少。

蜜罐系统也可分为以下几种类别：

• 纯蜜罐（Pure honeypots），此为完整的生产系统，不需要任何其他软体。换句话说，其为制作成蜜罐的产品伺服器，并与网络的其他部分相连。其为最可信，但也是风险最大和成本最高昂的。
• 高互动性蜜罐（High-interaction honeypots）是非拟真的作业系统。其会模拟生产系统，通常有大量的服务和资料。因此其需要大量的资源才能运作。此种蜜罐通常在虚拟机器（VM）上运行，因为这可允许多个蜜罐在单一装置上运行。这也使破坏系统的沙箱化、关闭和还原变得更容易。
• 低互动性蜜罐（Low-interaction honeypots）只模拟最「容易被当成目标」的系统或服务。其需要的资源较少，且大多在虚拟机器上使用。因此，其风险较小，也更容易维护。另一方面，低互动性蜜罐更容易被黑客辨识出来，所以最好是用于侦测透过僵尸网络和蠕虫传播的恶意软体。

研究人员或企业可能会使用多个蜜罐来组成蜜网。他们还可以进一步打造一个集中蜜罐和分析工具的集合——蜂蜜农场。使用蜜网或蜂蜜农场会使诱饵的可信度更高，因为黑客可以像在真实系统中一样，从一台伺服器跳到另一台。

蜜罐是否万无一失？

无论蜜罐听起来有多好，其都有一些局限性和漏洞。

• 蜜罐只在发生攻击时收集资料。
• 蜜罐并非很隐密。经验丰富的黑客可以使用指纹辨识技术来识别出蜜罐。因此，他们会避开蜜罐，并有可能将注意力转向更有价值的网络或伺服器。
• 蜜罐无法侦测其系统外的攻击。
• 如果蜜罐没有正确设定，尤其是纯蜜罐，就很有可能会成为其他系统和网络的闸道。
• 就如同任何其他作业系统，蜜罐可能存在技术漏洞，例如，薄弱的防火墙和加密技术，或者可能根本无法辨识出攻击。蜜罐简单来说并非完美的系统。

Tags：

转载请注明出处：https://www.eoje.cn/wlbk/6125.html