什么是蜜罐

蜜罐是一种主动防御技术，运行在互联网上的计算机系统，是一个包含漏洞的诱骗系统。它通过模拟一个或多个易受攻击的主机和服务，来吸引和诱骗那些试图非法闯入他人计算机系统的人对它实施攻击。从而可以对攻击行为捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

常见蜜罐有以下两种类型：

• 实系统蜜罐

  实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的，没有任何 SP 补丁，或者打了低版本 SP 补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络，根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。

• 伪系统蜜罐

  大家应该都知道，世界上操作系统不是只有 Windows 一家而已，在这个领域，还有 Linux、Unix、OS2、BeOS 等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同，简单的说，就是很少有能同时攻击几种系统的漏洞代码，也许你用 LSASS 溢出漏洞能拿到 Windows 的权限，但是用同样的手法去溢出 Linux 只能徒劳。根据这种特性，就产生了 “伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的 “漏洞”，入侵这样的 “漏洞”，只能是在一个程序框架里打转，即使成功 “渗透”，也仍然是程序制造的梦境 —— 系统本来就没有让这种漏洞成立的条件，谈何 “渗透”？实现一个 “伪系统” 并不困难，Windows 平台下的一些虚拟机程序、Linux 自身的脚本功能加上第三方工具就能轻松实现，甚至在 Linux/Unix 下还能实时由管理员产生一些根本不存在的 “漏洞”，让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。这种蜜罐的好处在于，它可以最大程度防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些 Windows 蠕虫攻击 Linux—— 只要你模拟出符合条件的 Windows 特征！但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破伪装，另者，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。

转载：什么是蜜罐 - 网安

（SAW：Game Over！）