蜜罐与蜜网技术介绍共82页

蜜罐技术是什么

第一章蜜罐技术蜜罐（Honeypot Technology）技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。

蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。

所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。

还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

第二章详细解释2.1蜜罐的定义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是：“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。

”设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

2.2涉及的法律问题蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的。

例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”（指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为）去攻击别人，那么这个损失由谁来负责？设置一台蜜罐必须面对三个问题：设陷技术、隐私、责任。

设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。

工业蜜罐技术PPT课件下载

一组数据
• 大约有3700台西门子S7 PLC连接到互联网，其中至少230个蜜罐可以被轻易地识别。
主流工控蜜罐比较
Conpot Snap7 CryPLH2 XPOT
TCP/IP协议欺骗
－－（√） √
低交互
读取系统状态
列表
√
√
√
√
HTTP/S NMP
－－ √ SNMP
列块
－（√）
√ √
工高低业交蜜互罐性的主：数要对据关手采注能集的够方采与式集主和内机内容和但容包程是括序不：进能行与交程互序，进并行且交它互能。够读写程序。
工低中业交等蜜控互交罐制性互的系：主性数统对要：据状手关对采态能注手集监够的能方控与采够式模主集与和块机内主内但容机容是包和不括程能：序与进程行序交进互行。交互。
已主工一机流业控个采工蜜系外集控罐统部：蜜主现应部罐要场用署的关设的于特注备方蜜点的和式罐和采控进主类集制行机别内器部，容的署监包形，听括式例主：部如机署中，We的例b、各如F类PTLPC信、、息ERmT。Uai、l、工O业A、路E由RP器等等。。
直中工可高接等业以交已交蜜设互边互罐置性界性主的在：网：要数内对关对据网手的手注采任能形能的集意够式够采方可与进与集式能主行主内和被机部机容内访和署和包容问程。程括到序序：的进进位行行置交交，互互例，。如并无且线它网能关够、读打写印程机序、。研发PC、办公主机等。
已工中直一业控等接个蜜系交已外罐统互边部主现性界应要场：网用关设对的注备手方的和能形式采控够进集制与行内器主部容的机署包形和，括式程。例：部序如署进，行We例交b、如互F。PTLPC、、ERmTUai、l、工O业A、路E由RP器等等。。

蜜罐及蜜网技术

信息系统安全与对抗技术蜜罐及蜜网技术❖L.Spiuner是一名蜜罐技术专家，他对蜜罐的定义：蜜罐是一种资源，它的价值是被攻击或攻陷，这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。

❖蜜罐不会直接提高计算机网络安全，但它却是其他安全策略所不可替代的一种主动防御技术。

❖产品型蜜罐的价值•运用于特定组织中以减小各种网络威胁，它增强了产品资源的安全性•防护•检测•响应❖研究型蜜罐的安全价值•研究型蜜罐可以捕获自动攻击•研究型蜜罐并不会降低任何风险与威胁，但是它们可以帮助使用者获得更多入侵者的信息❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖诱骗服务（Deception Service）•足以让攻击者相信是一件非常困难的事情❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖诱骗服务（Deception Service ）❖弱化系统（Weakened System ）❖强化系统（Hardened System ）❖用户模式服务器•是一个配置有已知攻击弱点的操作系统•恶意攻击者更容易进入系统❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）•强化系统并不配置一个看似有效的系统❖用户模式服务器❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖配置蜜罐的实例•蜜罐系统应该与任何真实的产品系统隔离•尽量将蜜罐放置在距离外网最近的位置•需要有步骤地记录所有通过蜜罐的信息❖配置蜜罐的实例❖产品型蜜罐❖研究型蜜罐❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务低交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务•中交互蜜罐：中交互蜜罐提供了更多的交互信息，但还是没有提供一个真实的操作系统中交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务•中交互蜜罐：中交互蜜罐提供了更多的交互信息，但还是没有提供一个真实的操作系统•高交互蜜罐：高交互蜜罐具有一个真实的操作系统高交互蜜罐蜜罐的分类❖蜜罐基本分类•牺牲型蜜罐•外观型蜜罐•测量型蜜罐❖由多个系统和多个攻击检测应用组成的网络❖信息控制❖信息捕获❖信息收集密网（Honeynet）分布式蜜网❖只要谈及蜜罐，就会使人联想到“诱骗”。

蜜罐与蜜网技术介绍

in being probed, attacked or compromised”
没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷用以监视、检测和分析攻击

9
北京大学计算机科学技术研究所
蜜罐技术的发展历史

被攻陷的真实主机 (1990 ~)

<< The Cuckoo’s Egg >> An Evening with Berferd 模拟网络服务，虚拟系统 Fred Cohen: DTK

配置数据库

存储网络协议栈的个性化特征将输入的数据包分发到相应的协议处理器

中央数据包分发器

协议处理器个性化引擎可选路由构件
29
北京大学计算机科学技术研究所
FTP服务模拟
case $incmd_nocase in QUIT* ) echo exit SYST* ) echo ;; HELP* ) echo echo echo echo echo echo echo echo ;; USER* ) -e "221 Goodbye.\r" 0;; -e "215 UNIX Type: L8\r"
27

Honeyd宿主主机的安全性

捕获网络连接和攻击企图

北京大学计算机科学技术研究所
接收网络流量

Honeyd模拟的蜜罐系统接收相应网络流量三种方式

为Honeyd模拟的虚拟主机建立路由 ARP代理支持网络隧道模式 (GRE)
28
北京大学计算机科学技术研究所

蜜罐技术简介

蜜罐技术简介1.蜜罐的概念蜜罐（Honeypot）首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里，蜜网项目组给出的定义是：没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。

它用真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。

2.蜜罐的价值⏹捕获、发现新的攻击手段及战术方法；⏹目的性强，捕获的数据价值高；⏹误报率、漏报率小；⏹建立安全事件行为特征库；⏹相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。

3.蜜罐的核心技术蜜罐的核心技术一般包括数据捕获技术，数据控制技术以及数据分析技术，其中数据捕获和数据分析技术与网络分析技术类似。

数据捕获技术：数据捕获就是在入侵者无察觉的情况下，完整地记录所有进入蜜罐系统的连接行为及其活动。

捕获到的数据日志是数据分析的主要来源，通过对捕获到的日志的分析，发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。

一般来说收集蜜罐系统日志有两种方式：基于主机的信息收集方式和基于网络的信息收集方式。

数据分析技术：数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理，提取入侵规则。

从中分析是否有新的入侵特征。

数据分析包括网络协议分析、网络行为分析和攻击特征分析等。

对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征，哪些是正常数据流。

分析的主要目的有两个：一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征；另一个是对攻击者的行为建立数据统计模型，看其是否具有攻击特征，若有则发出预警，保护其它正常网络，避免受到相同攻击。

4.常用的蜜罐系统4.1Honeyd一款优秀的虚拟蜜罐系统，提供强大易用的功能。

⏹可以模拟任意TCP/UDP网络服务，如IIS, Telnet, pop3…；⏹支持同时模拟多个IP地址主机；⏹最多同时支持65535个IP地址；⏹支持ICMP，对ping和traceroute做出响应；⏹通过代理和重定向支持对实际主机、网络服务的整合；⏹提供UI用户界面；⏹Honeyd与NIDS结合使用，能捕获更多更全面的攻击信息通过部署Honeyd可以对黑客攻击进行捕获和分析，达到以下效果：⏹了解黑客在干什么⏹了解黑客的攻击方法⏹捕获他们的键击记录⏹捕获他们的攻击工具⏹监控他们的会话4.2DTKDTK(DeceptionToolkit) 由FredChoen用Perl语言编写的一组源代码公开的脚本程序，采用服务仿真技术，是最早出现的一种欺骗系统，它可以在几分钟内部署一系列的陷阱，以显著提高攻击代价，同时降低防御成本，欺骗自动攻击程序，使其无效。

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐摘要：基于主动防御理论系统而提出的新兴蜜罐技术，日益受到网络安全领域的重视，蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。

根据获取的攻击者得情报，安全组织就能更好地理解网络系统当前面临的危险，并知道如何阻止危险的发生。

本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词：蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。

蜜罐技术

蜜罐（Honeypot）技术蜜罐技术是入侵检测技术的一个重要发展方向，它已经发展成为诱骗攻击者的一种非常有效而实用的方法，它不仅可以转移入侵者的攻击，保护主机和网络不受入侵，而且可以为入侵的取证提供重要的线索和信息。

蜜罐概述蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。

蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或者多个易受攻击的主机，给攻击者提供一个容易攻击的目标。

由于蜜罐并没有像外界提供真正有价值的服务，因此所有链接的尝试都将被视为是可疑的。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

这样，最初的攻击目标得到了保护，真正有价值的内容没有受到侵犯。

此外，蜜罐也可以为追踪攻击者提供有用的线索，为起诉攻击者搜集有力的证据。

从这个意义上说，蜜罐就是“诱捕”攻击者的一个陷阱。

1.1 蜜罐的概念L.Spitzner是一名蜜罐技术专家，他对蜜罐做了这样的定义：蜜罐是一种资源，它的价值是被攻击或者攻陷，这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。

蜜罐不会直接提高计算机网络安全，但它却是其他安全策略所不可替代的一种主动防御技术。

无论使用者如何建立和使用蜜罐，只有蜜罐受到攻击，它的作用才能发挥出来。

为了方便攻击者攻击，最好是将蜜罐设置成域名服务器（DNS）、Web或者电子邮件转发服务等流行应用中的某一种。

1.2蜜罐的安全价值根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐。

1、产品型蜜罐产品型蜜罐一般运用于特定组织中以减小各种网络威胁，它增强了产品资源的安全性。

产品型蜜罐最大的价值就是检测，这是因为产品型蜜罐可以降低误报率和漏报率，这极大地提高了检测非法入侵行为的成功率。

在响应中也会增强整个组织对意外事件的响应能力，但是蜜罐不能阻止入侵者进入那些易受攻击的系统。

蜜罐与蜜网技术介绍

蜜罐技术弱势

劳力/技术密集型局限的视图不能直接防护信息系统带来的安全风险
17
北京大学计算机科学技术研究所
安全风险

发现蜜罐

黑客知道要避免进入哪些系统向蜜罐反馈虚假、伪造的信息消除蜜罐的指纹蜜罐-反蜜罐技术：博弈问题! 期望黑客获得蜜罐的root权限黑客会将其用作危害第三方的跳板引入多层次的数据控制机制人为分析和干预

团队协作
5
北京大学计算机科学技术研究所
网络攻防的不对称博弈

工作量不对称

攻击方：夜深人静, 攻其弱点防守方：24*7*365, 全面防护攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损
6

信息不对称

提供真实的操作系统和服务，而不是模拟可以捕获更丰富的信息部署复杂，高安全风险实例：ManTrap, Gen II蜜网
15

北京大学计算机科学技术研究所
蜜罐技术优势

高保真－高质量的小数据集
很小的误报率很小的漏报率

捕获新的攻击及战术并不是资源密集型简单
16
北京大学计算机科学技术研究所
18

利用蜜罐攻击第三方

北京大学计算机科学技术研究所
蜜罐工具实例

DTK
Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception.

技术培训-蜜罐与蜜网技术介绍

蜜罐的分类
交互性：攻击者在蜜罐中活动的交互性级别低交互型－虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署，减少风险 • 例: Honeyd
高交互型－物理蜜罐
• 提供真实的操作系统和服务，而不是模拟 • 可以捕获更丰富的信息 / 部署复杂，高安全风险 • 例: 蜜网
虚拟机蜜罐－虚拟硬件、真实操作系统/网络服务
蜜罐技术优势
高度保真的小数据集
• 低误报率 • 低漏报率
能够捕获新的攻击方法及技术并不是资源密集型原理简单，贴近实际
蜜罐技术概述
蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具－Honeyd 蜜罐技术发展历程，当前研究热点
16
Honeyd
A virtual honeypot framework
• Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
支持同时模拟多个IP地址主机
• 经过测试，最多同时支持65535个IP地址 • 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络服务
• IIS, Telnet, pop3…
• 仅限对讲解内容相关的问题 • 对问题不感兴趣的可自由活动
讲座结束后留充分时间问答
• 欢迎任何问题 • 欢迎加入HoneynetCN邮件组讨论
蜜罐技术概述
蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具－Honeyd 蜜罐技术发展历程，当前研究热点
8
互联网安全状况
安全基础薄弱
络攻防知识建模，恶意软件分析及防范技术 • 博士论文方向：基于数据融合框架的网络攻击关联分
析技术研究 • 2004年微软学者，2005年IBM Ph.D. Fellowship • Email: zhugejianwei@

(扩充)蜜罐与蜜网技术

蜜罐技术优势

高度保真的小数据集
• 低误报率 • 低漏报率

能够捕获新的攻击方法及技术并不是资源密集型原理简单，贴近实际
蜜罐技术概述

蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具－Honeyd 蜜罐技术发展历程，当前研究热点
Honeyd

A virtual honeypot framework
Feb 12 23:06:33 Connection to closed port: udp (210.35.128.1:1978 172.16.85.101:1978) Feb 12 23:23:40 Connection request: tcp (66.136.92.78:3269 - 172.16.85.102:25) Feb 12 23:23:40 Connection established: tcp (66.136.92.78:3269 - 172.16.85.102:25) <-> sh scripts/smtp.sh Feb 12 23:24:14 Connection dropped with reset: tcp (66.136.92.78:3269 172.16.85.102:25) Feb 12 23:34:53 Killing attempted connection: tcp (216.237.78.227:3297 172.16.85.102:80) Wed Feb 12 23:23:40 UTC 2003: SMTP started from EHLO Port
蜜罐的分类

交互性：攻击者在蜜罐中活动的交互性级别低交互型－虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署，减少风险 • 例: Honeyd

蜜罐

“蜜罐”技术的起源：
“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。该作者在跟踪黑客的过程中，利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想，但他并没有提供一个专门让黑客攻击的系统。 “蜜罐”的正式出现是 Bill Cheswick 提到采用服务仿真和漏洞仿真技术来吸引黑客。服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。
Honeypot和NIDS相比较：
(1) 数据量小： Honeypot 仅仅收集那些对它进行访问的数据。在同样的条件下， NIDS 可能会记录成千上万的报警信息，而 Honeypot 却只有几百条。这就使得 Honeypot 收集信息更容易，分析起来也更为方便。 (2) 减少误报率： Honeypot 能显著减少误报率。任何对Honeypot 的访问都是未授权的、非法的，这样Honeypot 检测攻击就非常有效，从而大大减少了错误的报警信息，甚至可以避免。这样网络安全人员就可以集中精力采取其他的安全措施。

抵御入侵者，加样，当一个入侵者费尽力气入侵了这台蜜罐的时候，管理员已经收集到足够的攻击数据来加固真实的服务器。

诱捕网络罪犯
为了查找恶意入侵者，也会故意设置一些有不明显漏洞的蜜罐，设置一个蜜罐模拟出已经被入侵的状态，让入侵者在不起疑心的情况下乖乖被记录下一切行动证据，有些人把此戏称为“监狱机”，通过与电信局的配合，可以轻易揪出IP源头的那双黑手。
谢谢观看！

防黑阻击-入侵检测之蜜罐蜜网

防黑阻击入侵检测之蜜罐与蜜网入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。

主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。

它是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并找到有效的对付方法。

为了吸引攻击者，网络管理员通常还在Honeypot上故意留下一些安全后门，或者放置一些攻击者希望得到的敏感信息，当然这些信息都是虚假。

当入侵者正为攻入目标系统而沾沾自喜时，殊不知自己在目标系统中的所做所为，包括输入的字符，执行的操作等都已经被Honeypot所纪录。

蜜罐技术Honeypot是一个资源，它的价值在于它会受到探测，攻击或攻陷。

蜜罐并不修正任何问题，它们仅提供额外的、有价值的信息。

所以说Honeypot并非是一种安全的解决方案，这是因为它并不会“修理”任何错误。

它只是一种工具，如何使用这个工具取决于用户想做什么。

Honeypot可以对其他系统和应用进行仿真，创建一个监禁环境将攻击者困在其中。

无论用户如何建立和使用Honeypot，只有Honeypot受到攻击，它的作用才能发挥出来。

所以为了方便攻击，最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。

当然，根据所需要的服务，某些位置可能比其他位置更好一些。

如图(1)显示了通常放置的三个位置：1.在防火墙前面；2.DMZ中；3.在防火墙后面。

如果把蜜罐放在防火墙的前面，不会增加内部网络的任何安全风险，可以消除在防火墙后面出现一台失陷主机的可能性（因为蜜罐主机很容易被攻陷）。

但是同时也不能吸引和产生不可预期的通信量，如端口扫描或网络攻击所导致的通信流，无法定位内部的攻击信息，也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面，那么有可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙保护。

蜜罐与诱捕技术

▪ 蜜罐与诱捕技术定义
1.蜜罐是一种网络安全技术，通过模拟真实系统或服务，引诱并侦测攻击者的行为。 2.诱捕技术则是通过设置陷阱，捕获并分析攻击者的手法和工具，以便更好地防御。 3.蜜罐与诱捕技术结合使用，可以有效提升网络安全的防护能力。

▪ 蜜罐与诱捕技术的应用场景
1.蜜罐与诱捕技术适用于各种网络环境，包括企业内网、云计算环境等。 2.可以用于侦测各种攻击行为，如恶意软件、僵尸网络等。 3.通过分析攻击者的行为，可以为防御措施提供有针对性的改进。
▪ 诱捕技术的合规与道德考虑
1.在实施诱捕技术时，需要遵守相关法律法规和道德规范，确保合法合规。 2.诱捕技术的使用需要在确保网络安全和保护个人隐私之间进行平衡。 3.需要在诱捕技术的实施过程中，充分考虑道德和伦理因素，避免滥用和不当使用。
蜜罐与诱捕技术
蜜罐与诱捕的部署策略
蜜罐与诱捕的部署策略
▪ 分布式部署
蜜罐与诱捕技术
诱捕技术的原理与应用
诱捕技术的原理与应用
▪ 诱捕技术的原理
1.诱捕技术是一种通过模拟真实系统或资源，引诱攻击者进行攻击，从而对其进行监测、分析和防御的技术。 2.诱捕技术利用欺骗和伪装手段，创建虚假的网络资产或信息，使攻击者误入歧途，暴露其攻击行为和工具。 3.诱捕技术的核心是构建一个具有高度仿真性和吸引力的诱饵环境，以引起攻击者的注意并诱导其进行攻击。
蜜罐与诱捕的部署策略
▪ 动态调整策略
1.蜜罐和诱捕技术的部署策略应随着网络环境和威胁情况的变化进行动态调整。 2.通过实时监控网络流量和行为，及时发现新的威胁，调整蜜罐设置以应对。 3.动态调整策略要求具备高效的威胁情报获取和分析能力，以及快速的响应机制。
▪ 模拟真实环境

蜜罐技术

蜜罐技术：如何跟踪攻击者的活动？你们中的许多人可能对专业术语“蜜罐（honeypot）”和“蜜网（honeynets）”比较熟悉。

虽然从严格意义上讲，有人可能认为它们是安全研究人员的工具，如果使用得当，它们也可以使企业受益。

在本文中，我们所使用的“蜜罐”和“蜜网”表示的是同一个意思，蜜罐一般试图模拟一个更大更多样化的网络，为黑客提供一个更加可信的攻击环境。

蜜罐是一个孤立的系统集合，其首要目的是：利用真实或模拟的漏洞或利用系统配置中的弱点（如一个容易被猜出的密码），引诱攻击者发起攻击。

蜜罐吸引攻击者，并能记录攻击者的活动，从而更好地理解击者的攻击。

蜜罐一般分为两种类型：高交互蜜罐和低交互蜜罐。

类型和折中高交互蜜罐是一部装有真正操作系统（非模拟），并可完全被攻破的系统。

与攻击者进行交互的是一部包含了完整服务栈（service stack）的真实系统。

该系统的设计目的是捕获攻击者在系统中详尽的活动信息。

而低交互蜜罐只是模拟出了真正操作系统的一部分（如，网络堆栈、过程和服务），例如模拟某个版本的FTP（文件传输协议）服务，其中的代码存在漏洞。

这可能会吸引蠕虫查找服务脆弱部分的漏洞，由此可以深入观察到蠕虫的行为。

不过，在你使用这两种蜜罐时，需要做出一些折中。

用于网络安全的高交互蜜罐提供了真实操作系统的服务和应用程序，使其可以获得关于攻击者更可靠的信息，这是它的优势。

它还可以捕获攻击者在被攻破系统上的大量信息。

这一点可能会非常有帮助，比如说，在组织想要收集关于攻击者是如何找到攻破特定类型系统的详细真实数据，以便增加适当的防御的时候。

另一方面，这些蜜罐系统部署和维护起来十分困难，而且需要承担很高的副作用风险：例如，被攻破的系统可能会被用来攻击互联网上其他的系统。

虽然低交互蜜罐容易建立和维护，且一般对攻击者产生了免疫，但模拟可能不足以吸引攻击者，还可能导致攻击者绕过系统发起攻击，从而使蜜罐在这种情况下失效。

到底部署哪种蜜罐取决于你最终的目标是什么：如果目标是捕获攻击者与系统的详细交互情况，那么高交互蜜罐是一个更好的选择；如果目标是捕获针对某个有漏洞的服务版本的恶意软件样本，使用低交互蜜罐就足够了。

《工业互联网安全技术基础》课件—— 34-工业蜜罐技术

(2)操作系统及MAC厂商指纹识别
操作系统识别可以使用Nmap和 Xprobe2的扫描工具，Nmap是一种开源的工业级扫描工具，Xprobe2是一种操作系统扫描工具。
设备MAC地址会根据不同的设备厂商分配不同的段，工控设备厂商大多也可以从MAC地址来区分。
• 下图MAC为施耐德厂商 M580 PLC真实设备
–
CryPLH2 (√)
√
√
√
√
√
√
√
–
XPOT
√
√
SNMP
√
√
√
√
√
√
三、主流工控蜜罐介绍
低交互ICS蜜罐——Conpot
➢ Conpot是一个部署在服务端的低交互ICS蜜罐，能够快速地部署、修改和拓展。开发者通过提供一系列的通用工控协议，使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。
四、蜜罐识别技术
• 一般工控蜜罐，如服务蜜罐大多部署在linux vmware及docker容器里面，而仿真服务部署在windows系统上面。下图为modbus协议PLC使用vmware，可判断为蜜罐服务。
四、蜜罐识别技术
(3)指纹特征识别 • 这里可以利用nmap 扫描工
具对目标设备开放的端口和服务进行扫描识别，可以发现openplc默认开放了http 8080端口，浏览器访问 http://ip:8080查看plc管理页面发现与真实工控plc设备不一样
高交互
• 对手在中等交互之上能读写程序
二、工业蜜罐分类
举例
二、工业蜜罐分类
低交互
中等交互
高交互
TCP/IP堆读取系统 HTTP 栈欺骗状态列表 SNMP

蜜罐技术的概念

蜜罐技术的概念蜜罐技术是指通过在网络中部署虚假系统或服务，吸引黑客攻击并监控其行为，以获取攻击者的信息和意图。

蜜罐技术能够帮助组织了解当前的网络安全威胁和攻击手法，提高对抗攻击的能力，保护网络安全。

本文将对蜜罐技术的概念、类型、工作原理、应用场景及未来发展进行详细阐述。

## 一、蜜罐技术的概念蜜罐技术源自于军事领域，最早用于诱导敌方军队，虚设诱饵诱使他们投降或者暴露位置。

逐渐在网络安全领域得到应用，成为一种特殊的安全防御技术。

蜜罐技术通过在网络中故意设置易受攻击的虚拟系统，引诱攻击者攻击，从而捕获攻击者的行为和策略，为防范真实攻击提供信息基础。

## 二、蜜罐技术的类型根据部署位置和用途不同，蜜罐技术可分为低交互型蜜罐、中交互型蜜罐和高交互型蜜罐。

低交互型蜜罐通常只模拟一些基本的服务和系统，提供非常有限的交互能力给攻击者，主要用于收集攻击者的基本信息。

中交互型蜜罐提供了更多的交互功能，如虚拟主机、虚拟网络等，攻击者可以进行更多的交互操作。

高交互型蜜罐是一种完整的虚拟系统，几乎可以模拟真实系统的所有功能，能够更深入地监控攻击者的行为。

## 三、蜜罐技术的工作原理蜜罐技术的工作原理主要包括部署、监控和分析三个步骤。

首先是在网络中部署蜜罐系统，包括硬件和软件的搭建以及伪装成真实系统的设置。

然后通过监控设备对蜜罐系统进行实时监控，收集攻击者的行为数据和攻击方式。

最后对收集到的数据进行分析，形成攻击者的行为模式和意图，用于完善安全防御和对抗攻击。

## 四、蜜罐技术的应用场景蜜罐技术在实际网络安全中有着广泛的应用场景，主要包括攻击态势感知、攻击手段的研究、网络安全培训和安全策略验证等方面。

通过蜜罐技术可以及时感知和收集当前的攻击态势，了解最新的攻击手段和策略，及时调整网络安全策略。

蜜罐技术也可以用于对内部人员的安全意识培训和安全策略验证，帮助组织建立更完善的网络安全体系。

## 五、蜜罐技术的未来发展随着互联网技术和攻击手段的不断发展，蜜罐技术也在不断演进和完善。

蜜罐技术

蜜罐技术
计算机应用技术11-1
孙新宇
蜜罐技术专题
蜜罐的定义设置蜜罐蜜网数据收集蜜罐技术的优势蜜罐技术的作用
蜜罐的定义
首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数
谢谢
蜜罐技术的优势
蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。
而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻
击者的实际行为也就容易多了。自1999年启动以来，蜜网计划已经收集到了大量信息。部分发现结果包括：攻击率在过去一年增加了一倍；攻击者越来越多地使用能够堵住漏洞的自动点击工具（如果发现新漏洞，工具很容易更新）；尽管虚张声势，但很少有黑客采用新的攻击手法
数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文
件很容易被攻击者删除，所以通常的
办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）
据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得
到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

蜜罐和蜜网

低交互度Honeypot的实现
-Tarpits(从Tar Pit-焦油坑而来)
/wiki/Tarpit_(networking)
/q/Bookmarks/Delicious/tarpit iptables实现了tarpits
经过测试，最多同时支持65535个IP地址对ping和traceroute做出响应
支持同时模拟多个IP地址主机

支持ICMP

通过代理和重定向支持对实际主机、网络服务的整合-重定向使得我们可以将一个到虚拟蜜罐上的服务的连接请求转发到一台真实服务器运行的服务进程。

add windows tcp port 23 proxy “162.105.204.159 23”

但中交互系统因为要模拟众多的服务而加大了其普通使用的技术门槛。因为在无操作系统支持的基础上提供各种协议服务，而且要诱骗攻击者认为这是一个真正的服务，这就要求在技术上要非常的逼真与高效，攻击者往往是对网络安全技术有深入了解的人，如果只是简单的或偶尔不正确的响应一些攻击者的请求，攻击者可能很快就会发现被攻击系统的陷阱，从而停止攻击。
当一个新的链接过来的时候，连接会正常开始,不过TCP windows size=0, 就是说连接虽然建立了,不过数据不会传输, 强制终结连接也不管用,直到连接默认的time out时间到达,链接才会中止。
低交互度Honeypot的实现
-Kfsensor
/ 基于Windows的蜜罐/IDS
Honeypot是一种网络诱骗系统,伪装成具有看似重要但却没有价值数据的有漏洞的系统,诱骗入侵者。 Honeypot不会主动发送任何数据流,任何与它的互动皆可以被认为可疑,使用它可有效降低错报的发生; Honeypot根据系统活动而不是规则数据库检测攻击, 不会被新型攻击手段绕过,因此可以解决漏报问题; Honeypot每天产生的数据量很少,大部分都很有价值, 从中容易诊断出有用信息,解决数据整合问题。

蜜罐及蜜网技术简介

蜜罐及蜜网技术简介Introduction to Honeypot and Honeynet北大计算机科学技术研究所信息安全工程研究中心诸葛建伟，2004-10-15AbstractThe purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented.摘要本文给出了对蜜罐及蜜网技术的综述报告，包括蜜罐和蜜网的基本概念、发展历程、核心功能，并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。

此外本文还给出了蜜罐及蜜网技术的进一步研究方向。

关键字网络攻击；蜜罐；蜜网；诱捕网络1问题的提出众所周知，目前的互联网安全面临着巨大的考验。

美国CERT（计算机应急响应组）统计的安全事件数量以每年翻番的惊人指数级增长，在2003年已经达到了137,529次。

导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。

另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（Step-stone）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。