【网络安全】蜜罐技术是什么?有哪些作用?
在学习网络安全过程中,大家肯定接触过很多既陌生又熟悉的词汇,比如蜜罐。蜜罐是学习网络安全不可不知的一个词,那么网络安全中蜜罐是什么意思?我通过这篇文章为大家详细介绍一下。
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
蜜罐的一大优点就是设置简单,只需在因特网上有一台没有打补丁的计算机就可以,黑客在入侵计算机获取日志和审查功能时,通过在网络和计算机之间安置的网络监控系统就能以合理的方式记录下黑客的行动,同时尽量减小和排除对其它系统造成风险,如:建立在反向防火墙后面的蜜罐,其目的不是防止入站连接,而是防止蜜罐建立的出站连接。虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。
实际应用中,可以把蜜罐设置在与公司Web或邮件服务器相邻的IP地址上,就可以了解到所遭受到的攻击。
要注意的是,如果攻击者辨别出用户设置了蜜罐,就有可能在不被发觉的情况下,潜入用户所在的系统,一旦被攻陷,就会攻击、潜入或危害其它关联系统。
不过,现在蜜罐也可以使用虚拟系统设置,一台主机上可以运行4-10台虚拟计算机,此举可以大大降低蜜罐的设置成本,机器占用及管理难度。而且虚拟系统还支持悬挂和恢复功能,这样就可以在发现攻击时冻结计算机,分析其攻击方法,然后打开TCP/IP连接及系统上面的其它服务。
关于网络中所说的密罐是什么意思?
1.蜜罐的定义。关于蜜罐,到目前为止还没有一个完整的定义。“蜜网项目组”的创始人Lance Spitzner对蜜罐给出了一个比较权威的定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并没有其他的实际作用,所有流人和流出蜜罐的网络流量都可能预示着扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。实际上,蜜罐中只有一些虚假的敏感数据,不用于对外的正常服务。所以,它可以是一个网络、一台主机、一项服务,也可以是数据库中的某些无用的数据或者伪装的用户名及其弱口令等,因此任何与它交互的行为都可以被认为是攻击行为,这样就简化了检测过程,它可以部署在各个内部子网或关键主机上,检测来自网络系统外部和内部的各种攻击,用一种以检测、监视和捕获攻击行为和保护真实主机为目标的诱骗技术。
2.蜜罐的基本原理。蜜罐系统是一个陷阱系统,它通过设置一个具有很多漏洞的系统吸引黑客入侵,收集入侵者信息,为其他安全技术提供更多的知识。蜜罐采用监视器和事件日志两个工具对访问蜜罐系统的行为进行监控。由于蜜罐是一个很具有诱惑力的系统,能够分散黑客的注意力和精力,所以对真正的网络资源起到保护作用。
3.蜜罐的主要技术。蜜罐系统主要涉及网络欺骗技术、数据捕获技术、数据控制技术p湍1:3重定向)、攻击分析与特征提取等主要技术。(1)网络欺骗技术:是蜜罐的核心技术,利用各种欺骗手段和安全弱点和系统漏洞,引诱黑客的攻击。(2)数据捕获技术:主要目的是尽可能多的捕获攻击信息,而不被黑客发现,包括输入、输出及键盘和屏幕的捕获。(3)数据控制技术:主要目的是防止黑客将蜜罐作为跳板去攻击其他系统或危害别的主机,因此必须控制进出系统的数据流量而不被黑客怀疑。(4)攻击分析与特征提取:蜜罐系统设置一个数据分析模块,在同一控制台对收集到的所有信息进行分析、综合和关联,完成对蜜罐攻击信息的分析。
计算机里蜜罐是什么,谁知道
蜜罐技术蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。不过,设置蜜罐并不是说没有风险。这是因为,大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任(downstream liability),由此引出了蜜网(honeynet)这一话题。蜜网是指另外采用了技术的蜜罐,从而以合理方式记录下黑客的行动,同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接,而是防止蜜罐建立出站连接。不过,虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除,所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。(务必同时监控日志服务器。如果攻击者用新手法闯入了服务器,那么蜜罐无疑会证明其价值。)近年来,由于黑帽子群体越来越多地使用加密技术,数据收集任务的难度大大增强。如今,他们接受了众多计算机安全专业人士的建议,改而采用SSH等密码协议,确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统,以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志,蜜网计划采用了一种隐蔽技术。譬如说,把敲入字符隐藏到NetBIOS广播数据包里面。详见
对蜜罐攻击信息的分析。计算机里蜜罐是什么,谁知道蜜罐技术蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种
系统。 不过,现在蜜罐也可以使用虚拟系统设置,一台主机上可以运行4-10台虚拟计算机,此举可以大大降低蜜罐的设置成本,机器占用及管理难度。而且虚拟系统还支持悬挂和恢复功能,这样就可以在发现攻击时冻结计算机,分析其攻击方法,然后打开TCP/IP连接及系统上面的其它服务。关
较权威的定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并没有其他的实际作用,所有流人和流出蜜罐的网络流量都可能预示着扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。实际
因此任何与它交互的行为都可以被认为是攻击行为,这样就简化了检测过程,它可以部署在各个内部子网或关键主机上,检测来自网络系统外部和内部的各种攻击,用一种以检测、监视和捕获攻击行为和保护真实主机为目标的诱骗技术。 2.蜜罐的基本原理。蜜罐
其它系统,但同时很容易被黑客发现。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文