摘要:然而�,蜜罐技術(shù)迎來(lái)真正的發(fā)展���,是在這一概念被提出年之后����。這一階段的蜜罐可以稱為是虛擬蜜罐�,即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù),并對(duì)黑客的攻擊行為做出回應(yīng)����,從而欺騙黑客。
當(dāng)然不是���!因?yàn)?��,有一種神奇的技術(shù)叫“蜜罐”。
互聯(lián)網(wǎng)世界的攻擊者們���,比現(xiàn)實(shí)世界的壞人們更善于隱藏自己�,他們往往躲在肉雞、代理的背后���,肆無(wú)忌憚的攻擊我們的站點(diǎn)���。對(duì)于這樣的壞人,我們只能躲在高墻之后被動(dòng)防御了嗎�?
當(dāng)然不是!因?yàn)?���,有一種神奇的技術(shù)叫“蜜罐”。
引子
在軍事領(lǐng)域����,以響尾蛇導(dǎo)彈為代表的紅外制導(dǎo)武器,可以利用紅外探測(cè)器捕獲和跟蹤目標(biāo)自身輻射的能量來(lái)追擊目標(biāo)�����。對(duì)于飛機(jī)來(lái)說(shuō)���,沒(méi)有任何方法能在空中關(guān)停產(chǎn)生熱輻射的發(fā)動(dòng)機(jī)���,所以�,對(duì)飛機(jī)來(lái)說(shuō)��,響尾蛇導(dǎo)彈是一種非?��?膳碌拇嬖?���。
道高一尺魔高一丈���,為了避免被響尾蛇導(dǎo)彈擊落,很多飛機(jī)都會(huì)配備一種防御武器:紅外誘餌彈���,在響尾蛇導(dǎo)彈接近自己的時(shí)候����,放出紅外誘餌彈���,吸引對(duì)方去攻擊誘餌彈��,從而達(dá)到讓自己金蟬脫殼的作用���。
蜜罐是一種思想
類似的事情也發(fā)生在互聯(lián)網(wǎng)安全領(lǐng)域�����。
一個(gè)接入互聯(lián)網(wǎng)的網(wǎng)站����,只要能和外部產(chǎn)生通信�����,就有被黑客攻擊的可能——就像飛機(jī)在控制無(wú)法關(guān)停發(fā)動(dòng)機(jī)一樣���。但是網(wǎng)站能像飛機(jī)發(fā)射紅外誘餌一樣��,用某種陷阱來(lái)引誘攻擊者����,就可以達(dá)到自身不被攻擊的目的��。
這種引誘黑客攻擊的“陷阱”就是“蜜罐”��。從廣義上看�,“蜜罐”并不具體指某種技術(shù),而是一種思想。
舉個(gè)栗子��,在電影《無(wú)間道》中��,警方發(fā)現(xiàn)自己這邊有內(nèi)鬼但是并不知道是誰(shuí)���,于是假裝傳遞含有內(nèi)鬼信息的信封�,劉德華飾演的內(nèi)鬼摸不清底細(xì)���,冒險(xiǎn)去拿了這個(gè)信封��。
在這個(gè)情節(jié)里,這個(gè)偽裝成情報(bào)的信封就相當(dāng)于“蜜罐”��。
“蜜罐”的創(chuàng)造者
蜜罐作為一種古老的技術(shù)思想����,近幾年被人們?cè)絹?lái)越多地提起。
這一概念最初出現(xiàn)在一本上世紀(jì)出版的小說(shuō)——《The Cuckoo"s Egg》中����,這本小說(shuō)描述了作者作為一個(gè)公司的網(wǎng)絡(luò)管理員,如何追蹤并發(fā)現(xiàn)一起商業(yè)間諜案的故事��。這本書是互聯(lián)網(wǎng)界和文學(xué)小說(shuō)界的傳奇,被譽(yù)為最真實(shí)的黑客小說(shuō)�����。
這本書的作者 CliffordStoll 其實(shí)是個(gè)計(jì)算機(jī)安全專家���,他在1988年提出“蜜罐是一個(gè)了解黑客的有效手段”����。之后���,蜜 罐技術(shù)受到越來(lái)越多的網(wǎng)絡(luò)安全研究員們的注意�����,成為繼被動(dòng)防御技術(shù)之后又一個(gè)強(qiáng)有力的網(wǎng)絡(luò)安全技術(shù)����。
然而����,蜜罐技術(shù)迎來(lái)真正的發(fā)展,是在這一概念被提出10年之后����。
在這一時(shí)期����,蜜罐思想吸引到一匹網(wǎng)絡(luò)安全技術(shù)員的注意��,同時(shí)也開發(fā)出一批相應(yīng)的產(chǎn)品�,如Fred Cohen 所開發(fā)的DTK(欺騙工具包)、Niels Provos 開發(fā)的Honeyd 等��,同時(shí)也出現(xiàn)了像KFSensor�����、Specter 等一些商業(yè)蜜罐產(chǎn)品���。
這一階段的蜜罐可以稱為是虛擬蜜罐��,即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù),并對(duì)黑客的攻擊行為做出回應(yīng)����,從而欺騙黑客。
虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐變得比較方便��,即使是普通的網(wǎng)絡(luò)安全技術(shù)員也能配置,而不是像小說(shuō)情節(jié)那樣不接地氣���。
這些能夠模擬IP棧���、OS、應(yīng)用程序的蜜罐���,在它被攻陷了后也很容易重建��。通常情況下��,模仿是完全在內(nèi)存中實(shí)現(xiàn)的�����。虛擬蜜罐軟件也允許在單一的物理主機(jī)上配置一個(gè)完全的蜜網(wǎng)��,一個(gè)虛擬蜜罐系統(tǒng)可被用來(lái)模仿成千上萬(wàn)個(gè)系統(tǒng)���,每個(gè)系統(tǒng)使用成千上萬(wàn)個(gè)端口且使用不同的IP。
“蜜罐”的發(fā)展
和飛機(jī)發(fā)射的紅外誘餌類似����,這種簡(jiǎn)單的蜜罐更多是起到干擾攻擊者的作用���,并不能獲取到更多攻擊者信息。
于是有人就提出一些設(shè)想:
如果用蜜罐獲取到更多的攻擊者信息�,比如攻擊者的IP,就可以對(duì)攻擊來(lái)源打上標(biāo)記��,這樣一來(lái)就可以直接防御來(lái)自被標(biāo)記的攻擊���,御敵于“國(guó)門”之外���,大大減輕安全壓力。
在這種指導(dǎo)思想下�,一種新時(shí)代的蜜罐產(chǎn)生了:高交互蜜罐。
高交互蜜罐提供真實(shí)的操作系統(tǒng)和真實(shí)的服務(wù)�����,因此�����,這種蜜罐的交互性最強(qiáng)���,收集到的數(shù)據(jù)也最全面�����。
由于是真實(shí)的操作系統(tǒng)和真實(shí)的服務(wù)����,這樣的蜜罐其實(shí)是可以被攻陷的�����,甚至入侵者還能利用該蜜罐作為跳板�����,對(duì)網(wǎng)絡(luò)上其他用戶進(jìn)行入侵���。因此�����,高交互蜜罐捕獲的入侵信息是最全面的���,但也是比較危險(xiǎn)的。
“蜜罐”的未來(lái)
在討論蜜罐技術(shù)的未來(lái)之前����,我們需要知道一個(gè)前提:蜜罐并不是當(dāng)前互聯(lián)網(wǎng)世界最主流的安全技術(shù)�����,企業(yè)也不能只依賴蜜罐技術(shù)來(lái)保護(hù)自己�����。
所以��,這就存在一個(gè)問(wèn)題��,企業(yè)部署蜜罐的同時(shí)還得部署傳統(tǒng)的被動(dòng)防御����,這樣一來(lái)安全成本就大大提高�����。
離開劑量談毒性都是耍流氓
離開了成本去談安全也是耍流氓��,所以��,對(duì)于中小企業(yè)來(lái)說(shuō),蜜罐技術(shù)大部分時(shí)候還處于紙上談兵的階段�。
另外����,蜜罐作為一種誘餌,存在被攻破的可能性��,如果是部署在物理機(jī)上的蜜罐���,甚至可能被黑客作為跳板來(lái)入侵����,這種風(fēng)險(xiǎn)也是企業(yè)用戶不得不考慮的因素之一����。
反爬蟲
文章來(lái)源:http://bigsec.com/
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11200.html
