攻擊將遇到更有趣的系統之一是蜜罐(Honeypot)。蜜罐是一種用於吸引和捕獲試圖獲取訪問權的攻擊者的裝置或系統。它們也被用作研究工具、誘餌和單純獲取資訊的工具。
基於蜜罐的部署方式,可以假定與蜜罐的任何互動都不是善意的。蜜罐並非都相同,它主要分為兩大類:
低互動蜜罐
此類蜜罐依賴於對易受攻擊的系統上服務和程式的模擬。如果受到攻擊,系統將檢測到該活動並丟擲一個錯誤,管理員可對該錯誤進行稽核。
高互動蜜罐
此類蜜罐比低互動蜜罐更復雜,因為它們模擬的並非單個似乎易受攻擊的系統,而是模擬整個網路(通常稱為蜜網)。蜜罐將報告在這個嚴格控制和監測的環境中發生的任何活動。此類配置與低互動蜜罐的另一個區別是,它使用的是實際系統上的實際應用,而不是模擬系統。
檢測蜜罐
蜜罐是一種網路裝置,正在越來越多地部署到網路環境中,作為檢測和遲滯系統攻擊的一種手段。由於蜜罐應用己經十分普遍,因此需要知道可用於檢測此類系統的方法。
常見疑點
許多蜜罐可以簡單地通過查詢特定版本產品的特徵標誌檢測。例如,對於某些蜜罐,埠掃描或開放埠上的banner抓取,將顯示該系統的獨有特徵。其他系統可能具有表明它們可能是蜜罐的特有埠或banner的資訊。
為應對這種情況,許多供應商釋出其產品的多個版本,或通知其使用者如何進行更改以防止被檢出。
欺騙端囗
欺騙埠是某些蜜罐特有的一種有趣功能。欺騙埠是設定在蜜罐上,供外界識別其身份之物。欺騙埠將在掃描和banner抓取時,將自身標識為一個蜜罐,以期嚇退看到此資訊的攻擊者。
空城計
在某些情況下,可能很容易識別出低互動蜜罐,因為它不能像高互動系統一樣模擬個完整環境。探測低互動蜜罐的攻擊者可能會很快發現,自己在與一個沒有多少使用者、服務以及其他內容,基本上只有一個shell的系統進行互動。
蜜罐的問題
在此希望說明的一個問題是使用蜜罐的合法性。多年來,曾多次有人詢問筆者,在網路上設定一種設計目的就是讓黑客來攻擊的裝置是否合法。具體來說,如果有人攻擊你在自己網路上設定的蜜罐,即使在蜜罐由你主動設定的前提下,可以認為他們的行為是非法的嗎?其答案似乎是肯定的,這是非法的。
這一合法性問題,本質上是陷人入罪與誘人犯法的問題。是否屬於前者,即陷人入罪,問題在於是否實際上促使某人實施了某些他本不會實施的違法行為。而誘人犯法的例子,問題在於是否只是客觀上提供了攻擊機會,而攻擊者主動選擇了進一步去攻擊。在大多數情況下,判定蜜罐不屬於陷人入罪,因此如果有人攻擊了它,可能會被起訴。
當然,筆者不是律師,所以在進行涉及使用蜜罐的調查之前,請查閱當地法律並諮詢
律師。
本作品採用《CC 協議》,轉載必須註明作者和本文連結