在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。
所以蜜罐存在的意义就是——被攻击、被探测、被攻陷…
蜜罐分类:
以下内容翻译自维基百科。Honeypot (computing)
蜜罐主要可以根据部署并根据其参与程度进行分类。
根据部署,蜜罐可能被归类为:
生产蜜罐:
易于使用,仅捕获有限的信息,主要由公司使用。生产蜜罐被组织放置在生产网络内与其他生产服务器一起,以改善其整体安全状态。通常生产蜜罐是低交互蜜罐,更易于部署。与研究蜜罐相比,它们提供的攻击或攻击者信息较少。
研究蜜罐:
是为了收集有关针对不同网络的黑客社区的动机和策略的信息。这些蜜罐不会为特定组织增加直接价值; 相反,它们用于研究组织面临的威胁,并学习如何更好地防范这些威胁。研究蜜罐的部署和维护非常复杂,可以捕获大量信息,主要用于研究、军事或政府组织。
根据设计标准,蜜罐可分为:
纯蜜罐:
拥有完整的生产系统。通过使用已安装在蜜罐的网络链接上的点击来监视攻击者的活动。不需要安装其他软件。即使纯蜜罐是有用的,防御机制的隐秘性也可以通过更加可控的机制来确保。
高交互蜜罐:
模仿托管各种服务的生产系统的活动,因此,攻击者可能会被许多服务浪费时间。通过使用虚拟机,可以在单个物理机器上托管多个蜜罐。因此,即使蜜罐受到损害,它也可以更快地恢复。通常,高交互蜜罐通过难以检测提供更高的安全性,但维护起来很昂贵。如果虚拟机不可用,则必须为每个蜜罐维护一台物理计算机,这可能过于昂贵。高交互蜜罐也称作为蜜网。
低交互蜜罐:
只模拟攻击者经常请求的服务。由于它们消耗的资源相对较少,因此可以在一个物理系统上轻松托管多个虚拟机,虚拟系统的响应时间短,所需的代码更少,从而降低了虚拟系统安全性的复杂性。
蜜罐技术在如今的网络安全行业中越来越常见,去年轰动一时的荷兰警方打击汉莎暗网市场事件,在调查期间警方就曾采用蜜罐技术来追逐汉莎暗网市场的用户。
如果你对蜜罐很感兴趣,可以试试这一些蜜罐产品:
知道创宇:创宇蜜罐
长亭科技:谛听
猎风是基于蜜罐技术的多锚点威胁感知系统,通过在攻击者必经之路上构造陷阱,混淆其攻击目标,实时告警黑客和内鬼的内网入侵行为,将其诱骗隔离以延缓攻击,并帮助用户追踪溯源、阻断攻击和安全加固,从而保护企业核心信息资产安全。