本质上,蜜罐是黑客的陷阱。通过将黑客诱饵远离实际系统(并浪费时间使用虚拟文件和模仿时间),Honeypot可以收集有关其起源和方法的重要信息,以及它们的侵犯原因。通常,蜜罐是一种诱饵计算机系统,经过一些诱人的漏洞调味。
您可能熟悉公司为确保网络安全的更防御性策略,例如加密和客户身份验证,但是蜜罐有所不同,因为它积极邀请网络犯罪分子进行检查。当然,他们会自行危险!在本指南中,我们将查看设置蜜罐的一些优点以及常见的蜜罐变化。
蜜罐如何工作?
Honeypot是一种计算机系统,已设置为吸引黑客。该系统在不确定性的眼中看起来可能并不异常 - 它将具有应用程序和数据,但这都是诱饵,并且都非常密切观看。由于普通用户没有理由访问蜜罐,因此任何与锅相互作用的流量都会立即标记。
一旦他们建立联系并击退了他们的攻击,您将能够推断出有关黑客的很多信息。
蜜罐系统本身似乎应该尽可能真实。它需要具有嗅探和记录能力,运行所有预期的过程和应用程序,并包含一些文件作为诱饵。为了使一个可能成为黑客的蜜罐变得更有趣,例如,将漏洞烘烤到系统中也是一个好主意 - 例如,例如过时的操作系统。
为什么被称为“蜜罐”?
如果您听到“ Honeypot”一词并想到小熊维尼(Winnie) - 您并不孤单!温妮会竭尽全力偷走他的蜂蜜,然后“蜜罐”成为了理想事物的s语。此后,它也被用来描述一个值得期望的人。间谍有时会舒适地实现目标,并建立浪漫的关系,利用这种感情发挥其影响力,迫使商标移交证据,或者只是鼓励他们溢出秘密。
为什么要使用蜜罐?
大型公司,数据库管理员和研究人员通常会使用蜜罐。观看黑客与Honeypot互动可以收集很多东西 - 您不必将其余的网络置于危险之中。蜜罐可以告知黑客的作案手法,即系统中的目标以及首先来自何处。此外,蜜罐可以突出现有网络中的安全缺陷。
而且,正如我们之前提到的那样,蜜罐使发现黑客尝试变得更加容易,因为它们根本无法获得正常的流量。有时可能很难确定在合法网络上筛选大量流量时是否正在进行攻击。使用蜜罐,消除了这种干扰,使管理员可以确定威胁级别以及任何IP模式。
Honeypots还为安全人员提供了奇妙的虚拟训练场。真正的企业网络没有危险,因为蜜罐是孤立的,并且可以仔细检查和传播黑客的过程。
蜜罐变化
当然,有各种各样的蜜罐,它们因其参与程度,目标以及“诱饵”是什么而有所不同。让我们先看一下研究和生产蜜罐。
🔭研究
研究蜜饯比您的网络对外界更感兴趣,并且主要用于收集有关黑客方法,动机和趋势以及恶意软件菌株的信息。使用这些数据,您可以比潜在的攻击者领先一步;您可以改善现有的安全功能并开发新的补丁程序。因为它们很难运作,因此通常会发现政府,军事和研究小组正在使用研究蜜罐。
🔬生产
生产的蜜饯确实向内看您的内部网络。这些是公司利用的蜜罐来发现恶意的侵犯,并随后将黑客诱捕,同时学习他们对他们的影响。它们相对容易设置和使用,尽管他们收集的信息不如研究表兄弟!但是,生产蜜罐仍然可以从公司网络内监视和收集网络安全数据,并在与生产服务器一起使用网络内部时加强安全性。
接下来,我们将看一下高相互作用和低相互作用的蜜饯!
💤低谷
低相互作用的蜜罐很容易。它们不是资源密集型的,而是收集有关传入威胁的基本信息 - 例如它们来自何处以及它们的认真程度。可以通过一些专业知识和一些TCP,IP协议和网络服务来快速设置这些蜜饯,一个物理系统可以托管众多虚拟机。低相互作用的蜜饯没有过多的复杂代码,但这也意味着他们不会长期占用黑客 - 而且他们也不会收集有关其方法的太多有用的信息。
🔆高度交流
但是,高度交流的蜜罐是摄影者!这些蜜罐希望黑客浪费时间,以便他们可以密切监视它们,从而深入了解其方法,动机和所使用的任何漏洞。使用高度交互蜜罐的组织将获得有关黑客趋势的详细报告,这在主动保护其真实网络时非常有用。如您所料,高相互作用的蜜罐使用更多的资源,需要更多的时间来设置,并且需要经常维护。
蜜罐也有各种虚拟形状和大小,具体取决于其设计要解决的威胁。以下是一些更常见的变化。
最聪明的电子邮件蜜饯放置在隐藏的位置。这样,没有合法的发件人可以到达地址或发送邮件 - 只是自动收割机。因此,任何降落在收件箱中的邮件都可以自动将其标记为垃圾邮件。然后,只需要阻止消息并将发件人的IP添加到拒绝列表中。
decoy
基本的防火墙有时可能难以检测SQL注射 - 而且攻击者不会回避这种策略。因此,为防止它,公司可能决定使用数据库防火墙,其中一些防火墙支持蜜罐。然后,任何入侵者都将与错误的数据库面对面,而实际网络仍然安全。
🦠MALWARE
恶意软件蜜罐通过使用已知攻击向量来嗅出恶意软件。然后,可以检查USB驱动器和其他复制向量是否手动或模仿驱动器的蜜罐进行修改。