客户端蜜罐

实验23 “蜜罐”配置实验1．实验目的通过安装和配置“蜜罐”，了解“蜜罐”的原理，及其配置使用方法。

2．实验原理2.1 “蜜罐”技术的起源入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。

但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。

蜜罐使这些问题有望得到进一步的解决，通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。

如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能用于进一步改进IDS 的设计,增强IDS 的检测能力。

“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。

该作者在跟踪黑客的过程中，利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想，但他并没有提供一个专门让黑客攻击的系统。

蜜罐正式出现是Bill Cheswick 提到采用服务仿真和漏洞仿真技术来吸引黑客。

服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。

例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。

所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。

2.2 蜜罐技术的优点Honeypot是一个相对新的安全技术，其价值就在被检测、攻击，以致攻击者的行为能够被发现、分析和研究。

它的概念很简单：Honeypot没有任何产品性目的，没有授权任何人对它访问，所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。

Honeypot的检测价值在于它的工作方式。

正如前文所提到的，由于Honeypot没有任何产品性功能，没有任何授权的合法访问，所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。

Honeypot 的工作方式同NIDS 等其他的传统检测技术正好相反，NIDS不能解决的问题，Honeypot却能轻易解决。

蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。

它通过模拟漏洞和易受攻击的目标来吸引攻击者，并记录他们的行为。

本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。

一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络，来吸引和诱捕黑客攻击。

蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备，在这个系统中，存在着一些看似易受攻击的漏洞或是敏感信息。

当攻击者企图入侵或攻击这些漏洞时，蜜罐会记录下他们的攻击行为和手段，并提供有关攻击者的详细信息。

二、蜜罐技术的分类蜜罐可以分为以下几种不同类型：1. 高交互蜜罐：这种蜜罐模拟了一个完整的系统，攻击者可以与之进行实时互动，这包括使用真实的漏洞和服务。

高交互蜜罐提供了最真实的攻击场景，并能够获取最多的攻击者信息，但它也存在一定的风险和安全隐患。

2. 低交互蜜罐：这种蜜罐只模拟了一部分的系统服务或功能，它减少了与攻击者的互动，因此相对较安全。

低交互蜜罐可以快速部署和更新，但信息收集相对较少。

3. 客户端蜜罐：这种类型的蜜罐主要用于追踪和识别客户端攻击，例如恶意软件的传播、垃圾邮件的发送等。

客户端蜜罐可以帮助安全团队及时发现客户端攻击行为，并采取相应的措施。

4. 网络蜜罐：这种蜜罐放置在网络中，用于监测网络攻击和入侵。

它可以模拟各种网络服务和协议，以吸引攻击者对网络进行攻击。

5. 物理蜜罐：这种类型的蜜罐是一台真实的物理设备，通常用于保护企业的关键系统和数据。

物理蜜罐可以监测并记录与其交互的攻击者的行为，从而提高企业的安全性。

三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析：1. Honeynet计划Honeynet计划是一个非营利性的组织，致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。

他们搭建了一系列全球分布的蜜罐网络，成功地识别了许多高级攻击行为，并提供了有关黑客活动的详细报告。

2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动，鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。

蜜罐探针原理介绍蜜罐探针是一种安全工具，用于识别和追踪潜在的黑客攻击。

本文将深入探讨蜜罐探针的原理和工作方式，以及其在网络安全中的重要性和作用。

原理蜜罐探针的原理基于诱使攻击者入侵虚假系统，以便监测和分析攻击活动。

其基本原理如下： 1. 创建虚假系统：蜜罐探针在网络中部署一个看似真实的系统，包含各种常见的网络服务和漏洞，以吸引攻击者的注意。

2. 伪造诱饵：蜜罐探针制造各种看似有价值的信息和资源，例如数据库、账号密码等，用来吸引攻击者入侵。

3. 监测攻击行为：一旦攻击者接触到蜜罐探针，其行为会被记录和监测，包括攻击方法、工具、IP地址等。

4. 分析和响应：分析记录的攻击数据，能够获取关于攻击者的信息，进而可以采取适当的响应措施，如封锁攻击者IP、修改系统配置等。

工作方式蜜罐探针可以通过以下几种方式工作： 1. 高交互蜜罐：这种蜜罐与真实系统几乎相同，并模拟了真实的攻击目标。

它记录了攻击者的每一个细节，包括攻击方法、漏洞利用和入侵行为等。

虽然高交互蜜罐的部署和维护成本较高，但获取的信息也更加详尽。

2. 低交互蜜罐：与高交互蜜罐相比，低交互蜜罐只模拟了部分服务和系统，只记录了攻击者的部分行为。

因此，它的成本相对较低，但获取的信息也更有限。

3. 客户端蜜罐：这种蜜罐模拟了用户的终端设备，如电脑、手机等。

它记录了攻击者对终端设备的攻击尝试，如恶意软件的传播、远程控制等。

客户端蜜罐能够帮助安全团队了解最新的攻击趋势和技术。

重要性和作用蜜罐探针在网络安全中发挥了重要的作用，其重要性体现在以下几个方面： 1. 识别攻击者：蜜罐探针可以吸引攻击者入侵虚假系统，并记录攻击者的行为和方法。

通过分析这些数据，可以准确识别真实攻击者，并了解他们的攻击方式和技术手段。

2. 收集情报：蜜罐探针可以获取攻击者的IP地址、工具、漏洞利用等信息，这些信息对于了解当前的威胁状况和攻击趋势非常重要。

可以帮助安全团队及时采取相应的防御措施。

HFish蜜罐的介绍和简单测试HFish蜜罐是一款基于Docker的开源蜜罐系统，由中国互联网安全公司HuaFu Security推出。

HFish主要用于监测和识别攻击者行为，保护企业的网络安全。

与其他蜜罐系统相比，HFish具有易于安装、部署和使用的特点，可以帮助管理员轻松建立一个实时可靠、基于容器的网络蜜罐系统。

HFish蜜罐主要通过虚拟机或容器技术来模拟被攻击目标，记录攻击者的攻击行为，并分析攻击方式、渗透路径等信息。

HFish支持多种蜜罐模型，包括：Web应用程序蜜罐、FTP蜜罐、SSH蜜罐等。

在HFish的系统中，管理员可以自定义配置，设置不同的蜜罐模型，根据需要进行调整。

HFish蜜罐相比较其他蜜罐的优势：1. 在HFish的系统中，用户可以通过网络来远程管理蜜罐，这个功能减少了二次控制设备数量。

2. HFish对网络流量进行实时监控，对可能的攻击进行记录和警报。

3. HFish采用容器技术来提供自良、弹性、可扩容的蜜罐，增设的负载均衡、容器编排等定制功能，使系统的性能能够得到保障。

我们在实验室内简单测试了HFish蜜罐系统的使用情况。

首先，我们打开HFish蜜罐的官方网站，可以在官网上轻松下载Docker镜像文件。

接下来，我们需要安装Docker环境，以便于能够正常运行蜜罐。

由于我们在的测试环境为Windows系统，所以我们下载和安装Windows版本的Docker。

我们在命令提示符下输入docker images指令，可以查询到我们安装的Docker镜像包。

接下来，我们需要从官网上下载HFish的Docker镜像文件。

我们输入docker pull lfvinicius/hfish：latest指令来直接下载最新版本的HFish镜像文件。

等待下载完毕，我们就可以通过命令docker run同一指令来启动HFish容器了！成功启动容器后，我们可以在浏览器上输入地址来访问蜜罐系统的登录界面。

简述蜜罐的定义和作用蜜罐，又称为蜜罐技术，是一种用于识别、记录和分析网络攻击的安全工具。

蜜罐本质上是一种虚拟或实体的计算机系统，它模拟了一个真实的网络系统或应用程序，但实际上是专门用来吸引黑客攻击的“陷阱”。

蜜罐的作用主要有三个方面：一是吸引黑客攻击，以便监测和分析攻击行为；二是收集攻击数据，以便研究攻击技术和行为规律；三是提高网络安全防御能力，通过分析攻击数据，及时发现网络安全漏洞并加以修复。

蜜罐通过模拟真实系统或应用程序的漏洞，吸引黑客对其进行攻击。

一旦黑客入侵了蜜罐，蜜罐系统就会记录下黑客的攻击行为，包括攻击方式、攻击工具、攻击者的IP地址等信息。

这些数据对于安全研究人员来说非常宝贵，可以帮助他们了解黑客的攻击手段和策略，从而更好地制定防御策略。

蜜罐可以收集大量的攻击数据，用于分析攻击方式和攻击流程。

通过对攻击数据的分析，安全专家可以发现攻击者的行为规律，了解攻击的趋势和演变，为网络安全防御提供重要参考。

此外，攻击数据还可以帮助安全厂商及时更新安全防御软件，提高网络系统的安全性。

蜜罐可以提高网络安全的防御能力。

通过监测和分析攻击数据，可以及时发现网络安全漏洞并进行修复，从而加强网络系统的安全性。

同时，蜜罐还可以帮助企业建立安全意识，提高员工对网络安全的重视程度，减少安全事故的发生。

总的来说，蜜罐作为一种先进的网络安全技术，对于提高网络安全防御能力、保护网络系统安全具有重要意义。

通过吸引黑客攻击，收集攻击数据，分析攻击信息，蜜罐可以帮助安全专家及时发现网络安全威胁，并制定相应的防御措施，为网络安全保驾护航。

希望未来蜜罐技术能够不断发展，更好地服务于网络安全领域，为网络安全事业做出更大的贡献。

1.0李伊龙刘尚东第一章Honeypot简介1.1Honeypot的起源蜜罐这个概念已经出现了至少20年之久了。

蜜罐(honeypot)，首次出现在Cliff Stoll的小说«The Cuckoo’s Egg»[1]中，这部小说主要讲述的是作者自己身为公司的网络管理员，如何追踪并发现一起商业间谍案的故事。

在作者追踪的过程中，为了吸引黑客在线足够长的时间以便安全人员能够跟踪到他，Stoll 搭建了一个名叫“elaborate hoax”的东西，在其中放上黑客所感兴趣的一些东西，这个“elaborate hoax”，就是现在我们通常所说的蜜罐，蜜罐。

但是毋庸置疑在那之前已经有大量组织对其进行了很好的开发和使用，也进行了大量的研究和部署，只不过在1990年之前很少为公众所知而已。

1.2Honeypot的发展历程蜜罐技术的发展历程分为以下三个阶段。

从九十年代初蜜罐概念的提出直到1998年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。

这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。

1990/1991——第一本阐述蜜罐概念的公开发表的著作——Clifford Stoll的The Cuckoo’s Egg及Bill Cheswick的an evening with Berferd.从1998年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen所开发的DTK（欺骗工具包）、Niels Provos开发的Honeyd等，同时也出现了像KFSensor、Specter等一些商业蜜罐产品。

这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

1997——Fred Cohen的Deception Toolkit0.1版本发行，这是可为安全界所用的首批蜜罐解决方案之一。

简述蜜罐的定义和作用蜜罐，是指一种安全工具，旨在诱使攻击者对其进行攻击，从而帮助网络管理员监控和识别潜在的网络威胁。

蜜罐被设计成看似易受攻击的目标，吸引黑客前来攻击，以便收集攻击者的信息、技术、工具和意图。

通过分析攻击者的行为和手段，网络安全人员可以及时采取措施，加强网络的安全防护。

蜜罐的作用主要体现在以下几个方面：1. 识别潜在的威胁：蜜罐可以模拟各种不同类型的系统和服务，吸引攻击者前来攻击。

通过监控攻击者的行为，网络管理员可以及时发现潜在的威胁，并采取相应的防范措施，保护网络安全。

2. 收集攻击者信息：蜜罐可以收集攻击者的IP地址、攻击方式、工具和技术等信息。

这些信息对于分析攻击者的行为模式、识别攻击手段和制定有效的安全策略至关重要。

3. 降低风险：通过部署蜜罐，网络管理员可以将攻击者引导至虚拟环境中，避免其对真实系统造成损害。

这可以降低网络遭受攻击的风险，保护关键数据和系统的安全。

4. 提高安全意识：蜜罐可以帮助组织加强对网络安全的重视，提高员工和管理者的安全意识。

通过模拟攻击事件，组织可以更好地了解网络安全的重要性，加强对安全政策和措施的遵守。

5. 研究攻击技术：蜜罐可以为安全研究人员提供攻击者的技术和手段，帮助他们深入研究攻击技术，探索新的安全解决方案。

这有助于推动网络安全技术的发展，提高网络安全的水平。

总的来说，蜜罐在网络安全领域发挥着重要的作用，通过诱使攻击者对其进行攻击，帮助组织及时发现潜在的威胁，保护网络安全。

同时，蜜罐也可以帮助安全研究人员深入研究攻击技术，促进网络安全技术的发展。

部署蜜罐是网络安全的一种有效手段，可以提高组织对网络安全的防范和应对能力，保障网络系统的安全运行。

简述蜜罐的定义和作用
蜜罐（honeypot）是一种安全机制，旨在诱骗黑客攻击者进入虚拟或真实的系统，以便获取攻击者的信息和行为模式，从而进一步保护真实系统的安全。

蜜罐通常被用于网络安全领域，在网络中部署虚假系统或服务，吸引攻击者前来攻击。

通过对攻击者的行为进行分析，可以发现新型攻击方式、漏洞等信息，并及时采取措施修复漏洞或阻止攻击。

蜜罐有多种类型，包括高交互蜜罐、低交互蜜罐、中间件蜜罐等。

高交互蜜罐模拟了完整的操作系统和应用程序，提供给攻击者完整的环境；低交互蜜罐则只提供了一些基本服务和操作系统功能；中间件蜜罐则专注于模拟Web应用程序等特定软件。

除了用于获取黑客信息外，蜜罐还可以用于欺骗恶意软件和垃圾邮件发送者。

通过将虚假电子邮件地址放置在网站上，可以吸引垃圾邮件发送者向虚假地址发送垃圾邮件，从而减轻真实邮箱的负担。

总之，蜜罐是一种重要的安全机制，可以帮助企业及个人发现网络攻击并保护系统安全。

恶意代码及其检测技术1.恶意代码概述1.1定义恶意代码也可以称为Malware，目前已经有许多定义。

例如Ed Skoudis 将Malware定义为运行在计算机上，使系统按照攻击者的意愿执行任务的一组指令。

微软“计算机病毒防护指南”中奖术语“恶意软件”用作一个集合名词，指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。

随着网络和计算机技术的快速发展，恶意代码的传播速度也已超出人们想象，特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。

很多编程爱好者把白己编写的恶意代码放在网上公开讨论，发布白己的研究成果，直接推动了恶意代码编写技术发展。

所以目前网络上流行的恶意代码及其变种层出不穷，攻击特点多样化。

1.2类型按照恶意代码的运行特点，可以将其分为两类：需要宿主的程序和独立运行的程序。

前者实际上是程序片段，他们不能脱离某些特定的应用程序或系统环境而独立存在；而独立程序是完整的程序，操作系统能够调度和运行他们；按照恶意代码的传播特点，还可以把恶意程序分成不能白我复制和能够白我复制的两类。

不能白我复制的是程序片段，当调用主程序完成特定功能时，就会激活它们；能够白我复制的可能是程序片段（如病毒），也可能是一个独立的程序（如蠕虫）。

2.分析与检测的方法恶意代码与其检测是一个猫捉老鼠的游戏，单从检测的角度来说。

反恶意代码的脚步总是落后于恶意代码的发展，是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测，基于网络的检测方法主要有基于神经网络”、基于模糊识别“等方法，本文主要讨论基于主机的检测。

2.1恶意代码分析方法2.1.1静态分析方法是指在不执行二进制程序的条件下进行分析，如反汇编分析，源代码分析，二进制统计分析，反编译等，属于逆向工程分析方法。

(1)静态反汇编分析，是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。

浅谈蜜罐技术及其应用摘要：：蜜罐技术是信息安全保障的研究热点与核心技术。

本文介绍了目前国际上先进的网络安全策略一蜜罐技术，并对近年来蜜罐技术的研究进展进行了综述评论。

同时也探讨一种全新的网络安全策略一蜜网。

关键词：蜜罐；蜜网；网络安全1 引言随着计算机网络技术的发展，网络在世界经济发展中的地位已十分重要。

然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。

我们目前的主要防范策略就是构建防火墙。

通过防火墙来阻止攻击，保障网络的正常运行。

2 蜜罐技术防火墙确实起到了一定的保护作用，但是细想一下，这样却不近常理，“黑客”们在不断的攻击，我们的网络总是处于被动的防守之中。

既不知道自己已被攻击，也不知道谁在攻击。

岂有久攻不破之理。

虽然网络安全技术在不断的发展，“黑客”们攻击方法也在不断翻新，在每次的攻击中“黑客”们并没有受到任何约束和伤害，一次失败回头再来。

而且在这众多“黑客”对个别营运商的局面下，我们是否太被动了，稍有不周就遭恶运。

而蜜罐好比是情报收集系统。

蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。

所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。

还交可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社网络。

蜜罐Honeypot以及蜜罐延伸技术，当前十分流行，它已不是一种新的技术，可以说是一大进步的安全策略。

它使我们知道正在被攻击和攻击者，以使“黑客”们有所收敛而不敢肆无忌惮。

蜜罐的引入，类似于为网络构建了一道防火沟，使攻击者掉入沟中，装入蜜罐以至于失去攻击力，然后再来个瓮中捉鳖。

关于蜜罐，目前还没有一个完整的定义。

读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’，和Bill Cheswick所著“An Ev witll Be Id”。

在此我们把蜜罐定义为“一种被用来侦探，攻击或者缓冲的安全资源”。

简述蜜罐的定义和作用蜜罐是一种虚拟或真实的计算机系统，用于模拟被攻击的目标，以吸引黑客或恶意软件攻击，并收集攻击信息。

蜜罐通常包括一些漏洞或弱点，以便攻击者能够进入系统并执行其攻击。

蜜罐的目的是收集有关攻击者的信息，包括攻击方法、攻击者的身份、攻击目的以及攻击者使用的工具和技术。

蜜罐通常分为两类：低交互蜜罐和高交互蜜罐。

低交互蜜罐是一种具有受攻击漏洞的虚拟或真实系统，用于收集攻击者的信息。

这些蜜罐通常只能模拟受攻击系统的某些方面，例如网络服务或操作系统。

攻击者可以访问这些服务或系统，但无法对整个系统进行控制。

另一方面，高交互蜜罐是一种完整的虚拟或真实系统，攻击者可以完全控制和访问。

这些蜜罐通常包括一些真实的数据和应用程序，以使攻击者更容易相信它们是真实的系统。

蜜罐的作用是多方面的。

一方面，它可以帮助组织收集有关攻击者的信息，例如攻击者的身份、攻击目的以及攻击方法。

这些信息可以帮助组织改进其安全措施，以防止未来的攻击。

另一方面，蜜罐还可以用于研究攻击者的行为和技术，以便更好地理解和预测未来的攻击。

此外，蜜罐还可以用于测试安全工具和技术，以确保它们能够有效地检测和防止攻击。

蜜罐的实现需要考虑几个因素。

首先，蜜罐必须能够准确地模拟被攻击的系统，以吸引攻击者。

这需要仔细配置蜜罐，并确保它们的漏洞和弱点与真实系统相同。

其次，蜜罐必须能够收集有关攻击者的高质量信息，例如攻击者的IP地址、操作系统版本和使用的工具。

最后，蜜罐必须能够与组织的其他安全措施相集成，以确保它们不会成为安全漏洞。

蜜罐是一种有用的安全工具，可以帮助组织收集有关攻击者的信息，并改善其安全措施。

蜜罐的实现需要仔细考虑许多因素，以确保它们能够准确地模拟被攻击的系统，并收集高质量的攻击信息。

蜜罐系统的名词解释在当今的信息安全领域中，蜜罐系统（Honeypot）是一种被广泛使用的技术，用于吸引和诱导黑客入侵，从而获取和分析攻击者的行为和手段。

蜜罐系统通过模拟真实的目标资源来诱使攻击者侵入，然后监控和记录攻击过程中所产生的数据和信息。

本文将对蜜罐系统进行名词解释，并探讨其在信息安全领域中的重要性以及不同类型的蜜罐系统。

一、蜜罐系统的基本原理和作用蜜罐系统通过创建一个看似易受攻击的目标资源，如一个网络服务器或应用程序，来吸引黑客入侵。

这些蜜罐系统通常在真实网络环境中被部署，但与真实系统相比，它们拥有低价值或无价值的信息和数据，因此不存在对真实系统的风险。

一旦黑客侵入了蜜罐系统，它们将在蜜罐系统内进行操作，而真实系统则保持安全。

蜜罐系统会监控和记录攻击者的行为，例如攻击方法、入侵技术以及攻击者在蜜罐系统中所执行的操作。

这样的信息有助于安全专家了解黑客的策略和手段，以便采取相应的防御措施。

蜜罐系统的作用不仅仅是吸引攻击者，还能使安全专家更好地了解黑客的攻击技巧，从而提高系统的安全性。

通过对攻击者的行为进行分析和研究，安全专家可以及时更新防御策略和技术，以保护真实系统免受类似攻击的威胁。

二、蜜罐系统的分类蜜罐系统可以根据其部署方式和目标资源的类型进行分类。

以下列举了几种常见的蜜罐系统类型：1. 高交互蜜罐：这种类型的蜜罐系统提供与真实系统相似的功能和服务。

它们模拟了真实系统的各个方面，以便吸引攻击者进行更深入的操作和交互。

高交互蜜罐系统能够记录更多的攻击信息，但同时也需要更多的资源来维护和监控。

2. 低交互蜜罐：相比高交互蜜罐，低交互蜜罐系统提供了更有限的功能和服务。

它们通常只模拟了真实系统的部分或简化版功能，同时减少了对攻击者的交互需求。

这种类型的蜜罐系统在资源消耗方面较低，但也相应地提供了较少的攻击信息。

3. 客户端蜜罐：这种类型的蜜罐系统模拟了常见的客户端应用程序，如网络浏览器或电子邮件客户端。

基于网络攻防的树莓派蜜罐系统实现与应用蜜罐是一种引诱黑客攻击的主动防御式陷阱技术，通过在网络上部署一台没有任何目的作用的高危计算机系统，去了解黑客常用的和最新的入侵手法，或分散黑客的攻击目标以达到保护真实主机的目的。

树莓派是一款有高性能，高稳定性的卡片式电脑，常用于孩子的教育。

近年来网络安全事故频发，网络犯罪更是给国家带来不可估量损失。

以低廉的树莓派为载体制作树莓派蜜罐系统，该系统能对机房、校内网络等起到监控保护的作用，且能用于学生在网络攻防方面的实践。

标签：网络攻防；蜜罐；树莓派0 引言随着网络的发展，仅仅依赖防火墙难以保障整个网络的安全。

如今大量黑客通过一些漏洞入侵IoT物联网设备获得控制权组建僵尸网络[1]，利用DMZ作为跳板进行嗅探，拖库等攻击。

所以网站系统的防护是安全防护的重点，也是难点。

在网络攻防博弈模型[2]提出的通过算法计算防御成本、期望值等数据来进行最优主动防御，然而最安全的方法并不是靠计算，而是保护计算机安全的一种形式。

根据仿生学原理，带有“甜味”的东西可以引诱各种“昆虫”。

蜜罐是用来吸引黑客，从而在黑客攻击的过程中，获得黑客信息。

1、树莓派蜜罐简介1.1树莓派，这是一款基于Linux的卡片电脑，只有手掌大小。

由英国树莓派基金会研发，推广给世界的极客爱好者，同时供儿童学习与应用。

1.2蜜罐，蜜罐优点之一是大大减少要分析的数据。

相对于防火墙和入侵检测系统，蜜罐对警告和威胁的信息辨别，具有零误报率和低漏报率的特点。

而且对资源的消耗极低，对监视和检测的能力尤为突出。

蜜罐可分为低交互蜜罐和高交互蜜罐，其中高交互蜜罐又可分为应用层蜜罐、客户端蜜罐及虚拟化蜜罐。

蜜罐技术的监测广度有限，并且传统蜜罐对于数据的分散收集，部署复杂，所以蜜网项目组织引入了蜜网的技术概念，即通过利用快速部署的方法，部署分布式蜜罐，并且集中处理日志等方法。

其优势在于相对于其他的蜜罐软件，蜜罐部署简单，灵活性高。

2、应用部署2.1部署构架，本文中分别利用Docker [8]与树莓派部署Dionaea与Web蜜罐，分布在不同的网段中，收集数据。

创宇蜜罐威胁诱捕与溯源系统用户手册V1.8.3「SaaSV3.3.7」（文档编号：MG-SY-2021-007）北京知道创宇信息技术股份有限公司文档说明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京知道创宇信息技术股份有限公司（以下简称“知道创宇”）所有，受到有关产权及版权法保护。

任何个人、机构未经知道创宇的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

威胁诱捕与溯源系统用户手册V1.8.3「SaaSV3.3.7」©版权所有北京知道创宇信息技术股份有限公司北京市朝阳区望京SOHO T3-A座-15层SOHO T3-A Block-15,Wangjing,Chaoyang District,Beijing客户热线（Customer Hotline）：400-060-9587/************邮编（Post Code）：100102邮箱（Email）：****************文档更新记录目录1.产品介绍 (1)2.登录 (2)3.风险大盘 (2)3.1.数据时间筛选 (2)3.2.威胁总览 (3)3.3.威胁数据 (3)4.安全态势大屏 (4)5.蜜罐管理 (5)5.1.蜜罐部署 (5)5.1.1.部署云蜜罐 (5)5.1.2.部署客户端蜜罐 (10)5.2.蜜罐列表 (14)5.3.蜜罐设置 (14)5.4.定制蜜罐 (16)5.4.1.克隆蜜罐 (17)5.4.2.自定义蜜罐 (18)5.4.3.默认蜜罐 (20)6.客户端管理 (20)6.1.客户端列表 (20)6.2.客户端部署 (20)6.3.客户端操作 (22)6.4.客户端卸载 (23)7.蜜饵管理 (23)7.1.邮件蜜饵 (23)7.2.文件蜜饵 (26)8.威胁情报 (27)8.1.攻击者画像 (27)V8.2.文件下载 (29)8.3.攻击日志 (29)8.3.1.日志操作 (30)8.4.安全事件 (33)9.数据管理 (34)9.1.行为分析报告 (34)9.2.日志数据下载 (35)10.策略配置 (36)10.1.SYSLOG 配置....................................................................................................3610.2.白名单配置.. (36)10.2.1.计入攻击日志配置 (37)10.2.2.添加白名单IP (37)10.2.3.添加白名单MAC...........................................................................................3810.2.4.白名单删除.. (38)10.3.蜜罐模板配置 (39)10.3.1.默认蜜罐 (39)10.3.2.定制蜜罐 (39)11.监控管理 (39)12.通知管理 (39)12.1.威胁告警 (39)12.2.系统通知 (40)1.产品介绍近年来，随着攻防手段的不断演变，不论是交锋日益激烈的网络安全日常防护，还是常态化的网络攻防演练，高对抗性俨然成为了网络安全攻防的本质。

蜜罐HFish介绍官方帮助文档：1 快速了解HFish蜜罐HFish是一款社区型免费的中低交互蜜罐，侧重企业安全场景：•内网失陷检测•外网威胁感知•威胁情报产生目前共有42种蜜罐应用，包含40种低交互服务，2种高交互服务。

1.1 HFish基本结构HFish由管理端（server）和节点端（client）组成：•管理端：生成和管理节点端，并接收、分析和展示节点端回传的数据管理端必须部署在安全区。

o管理端访问端口：4433o节点数据回传端口：TCP/4434o服务默认访问端口：TCP/22注：4433、22端口只能被安全区设备访问，22端口必须能被节点端访问•节点端：接受管理端的控制并负责构建蜜罐服务HFish的管理端对应蜜罐概念中的管理面，无安全防护功能；节点端对应交互面，负责模拟服务诱导攻击。

1.2 企业级应用架构1、管理端HFish可以配置可供外网访问的Server，但若同时有内外网访问需求，建议同时部署两套相互独立的系统。

2、节点端间插在生产环境中，通过回传端口将数据传递给管理端。

2 Windows下的环境部署2.1 下载Windows下载部署 (hfish.io)1.下载安装包HFish-Windows-amd64（Windows x86 架构 64 位系统），解压缩2.防火墙上进出站双向打开TCP/4433、4434端口放行（如需使用其他服务，也需要打开端口）※若未开启防火墙可跳过这一步3.进入HFish-Windows-amd64文件夹内，运行文件目录下的install.bat （脚本会在当前目录进行安装HFish2.2 登录管理端登录web界面：•登陆链接：https://[ip]:4433/web/端口和登录URL，可以在config.ini中自行配置。

2.3 数据库配置官方建议使用MySql数据库。

•测试、内部简单使用：SQLite•外网环境和大规模部署：MySQL、MariaDB在系统配置–数据库配置可以更改数据库。

ssh蜜罐原理SSH蜜罐是一个虚假但看起来可以用的SSH服务，用来吸引潜在攻击者前来攻击。

在攻击者攻击时，蜜罐记录攻击者的行为和活动，以便研究和了解潜在攻击威胁的方法和行为。

下面是SSH蜜罐原理的详细分析。

1.实施SSHD伪装在SSH蜜罐中，安装一个虚假的SSH服务器，即SSHD，在使用哪些端口方面，应该基于能够使您的SSH蜜罐更像一个真正的SSH服务器来决定。

这些端口通常包括SSH使用的标准端口22。

安装SSHD后，还需要配置它以模拟指定的操作系统，并运行所需的服务。

这包括创建并运行一个虚假的BASH Shell，并在SSH连接建立时执行自定义程序或脚本。

2.客户端进行连接SSH蜜罐必须运行在Internet上，以使潜在攻击者可以访问它并试图连接。

攻击者通常使用一个客户端连接SSH服务器，以从远程位置远程访问系统。

当攻击者连接到SSH蜜罐时，SSH蜜罐排除SSH客户端与权限相关的问题，这些问题总是由于Legitimate SSH服务器和/或SSH客户端应用程序错误而导致。

通过摆脱这些错误，攻击者可能会被迷惑，他们可能会认为在给定的计算机上运行的SSH服务器是一个正常的SSH服务器。

3.分析登录尝试攻击者通过SSH蜜罐尝试登录后，SSH蜜罐将存储登录尝试的详细信息。

这包括攻击者使用的用户名和密码，以及攻击者用于进一步干扰系统的所有操作。

SSH蜜罐可以记录对系统的任何形式的攻击，而不仅仅限于SSH登录尝试。

任何尝试在SSH蜜罐上运行命令或进一步操纵系统的尝试都将被记录下来。

4.返回假信息SSH蜜罐通常配置为向攻击者返回一定量的虚假信息，这些信息可以防止攻击者知道SSH蜜罐正在被使用，并可能启用攻击者通过某些漏洞入侵到真实的网络。

该虚假信息可以是实际操作系统的假目录信息，或者是SSH服务输出的虚假执行结果。

在所有这些情况下，这些信息与SSH蜜罐上模拟的真实操作系统不相符。

总结SSH蜜罐是在网络安全方面极其重要的工具。

T-Pot 数据流分析报告一、T-pot各容器介绍T-Pot基于linux的网络安装程序。

蜜罐守护程序以及正在使用的其他支持组件已使用Docker进行集装箱化。

这允许我们在同一网络接口上运行多个蜜罐守护进程，同时保持较小的占用空间并限制每个蜜罐在其自己的环境中。

Dockerized Honeypots在T-pot中含有以下各种dockerized honeypots•adbhoney低交互工控蜜罐，提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。

•ciscoasa基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录，并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件。

•conpot低交互工控蜜罐，提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。

•cowrie基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录，并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件。

•dionaeaDionaea是运行于Linux上的一个应用程序，将程序运行于网络环境下，它开放Internet常见服务的默认端口，当有外来连接时，模拟正常服务给予反馈，同时记录下出入网络数据流。

网络数据流经由检测模块检测后按类别进行处理，如果有shellcode 则进行仿真执行；程序会自动下载shellcode 中指定或后续攻击命令指定下载的恶意文件。

•elasticpot模拟elastcisearch RCE漏洞的蜜罐，通过伪造函数在/,/_search, /_nodes的请求上回应脆弱ES实例的JSON格式消息。

•glastopf低交互型Web应用蜜罐, Glastopf蜜罐它能够模拟成千上万的web漏洞，针对攻击的不同攻击手段来回应攻击者，然后从对目标Web应用程序的攻击过程中收集数据。