10.5. 使用蜜罐:披着羊皮的狼

未匹配的标注

使用蜜罐:披着羊皮的狼

攻击将遇到更有趣的系统之一是蜜罐(Honeypot)。蜜罐是一种用于吸引和捕获试图获取访问权的攻击者的设备或系统。它们也被用作研究工具、诱饵和单纯获取信息的工具。

基于蜜罐的部署方式,可以假定与蜜罐的任何交互都不是善意的。蜜罐并非都相同,它主要分为两大类:

低交互蜜罐

此类蜜罐依赖于对易受攻击的系统上服务和程序的模拟。如果受到攻击,系统将检测到该活动并抛出一个错误,管理员可对该错误进行审核。

高交互蜜罐

此类蜜罐比低交互蜜罐更复杂,因为它们模拟的并非单个似乎易受攻击的系统,而是模拟整个网络(通常称为蜜网)。蜜罐将报告在这个严格控制和监测的环境中发生的任何活动。此类配置与低交互蜜罐的另一个区别是,它使用的是实际系统上的实际应用,而不是模拟系统。

检测蜜罐

蜜罐是一种网络设备,正在越来越多地部署到网络环境中,作为检测和迟滞系统攻击的一种手段。由于蜜罐应用己经十分普遍,因此需要知道可用于检测此类系统的方法。

常见疑点

许多蜜罐可以简单地通过查找特定版本产品的特征标志检测。例如,对于某些蜜罐,端口扫描或开放端口上的banner抓取,将显示该系统的独有特征。其他系统可能具有表明它们可能是蜜罐的特有端口或banner的信息。

为应对这种情况,许多供应商发布其产品的多个版本,或通知其用户如何进行更改以防止被检出。

欺骗端囗

欺骗端口是某些蜜罐特有的一种有趣功能。欺骗端口是设置在蜜罐上,供外界识别其身份之物。欺骗端口将在扫描和banner抓取时,将自身标识为一个蜜罐,以期吓退看到此信息的攻击者。

空城计

在某些情况下,可能很容易识别出低交互蜜罐,因为它不能像高交互系统一样模拟个完整环境。探测低交互蜜罐的攻击者可能会很快发现,自己在与一个没有多少用户、服务以及其他内容,基本上只有一个shell的系统进行交互。

蜜罐的问题

在此希望说明的一个问题是使用蜜罐的合法性。多年来,曾多次有人询问笔者,在网络上设置一种设计目的就是让黑客来攻击的设备是否合法。具体来说,如果有人攻击你在自己网络上设置的蜜罐,即使在蜜罐由你主动设置的前提下,可以认为他们的行为是非法的吗?其答案似乎是肯定的,这是非法的。

这一合法性问题,本质上是陷人入罪与诱人犯法的问题。是否属于前者,即陷人入罪,问题在于是否实际上促使某人实施了某些他本不会实施的违法行为。而诱人犯法的例子,问题在于是否只是客观上提供了攻击机会,而攻击者主动选择了进一步去攻击。在大多数情况下,判定蜜罐不属于陷人入罪,因此如果有人攻击了它,可能会被起诉。

当然,笔者不是律师,所以在进行涉及使用蜜罐的调查之前,请查阅当地法律并咨询律师。

本文章首发在 LearnKu.com 网站上。

上一篇 下一篇
贡献者:1
讨论数量: 0
发起讨论 只看当前版本


暂无话题~