【网络安全之——蜜罐】

网络安全之蜜罐

  • 1.什么是蜜罐?
  • 2.原理是什么?
  • 3.蜜罐的分类
  • 4.研究现状
  • 5.蜜罐的缺点
  • 6.Hfish蜜罐的使用介绍

1.什么是蜜罐?

蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。

2.原理是什么?

蜜罐可以故意暴露一些易受攻击的端口,使这些端口保持在开放状态,主动诱使攻击者进入蜜罐环境中,而不是进入真实的系统。一旦攻击者进入蜜罐环境中,就可以连续跟踪攻击者的行为,实现对攻击者的捕获、攻击路径的溯源,并通过评估攻击者的攻击行为,获取有关如何使真实网络更安全的线索,进而通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐原理图
蜜罐系统结构图

3.蜜罐的分类

蜜罐系统根据攻击者与蜜罐的交互级别把蜜罐分为低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐通常是最容易安装、配置、部署和维护的,它的设计和基本功能都很简单,只是模拟各种服务,攻击者仅限于与预先指定的服务进行交互。例如,一个低交互的蜜罐可以用来模拟一个标准的Linux服务器,在Linux服务器中正在运行的FTP、SMTP和TELNET等服务。攻击者可以通过远程连接到这个蜜罐,并且获得服务的登录提示,然后通过猜测或暴力破解进行登录尝试,蜜罐将捕获并且收集这些登录尝试,攻击者与蜜罐的交互仅限于登录尝试,并不能登录到这个系统。中交互蜜罐为攻击者提供了比低交互蜜罐更多的交互能力,如提高一些低交互蜜罐无法提高的响应,但比高交互蜜罐的功能少。例如,可以通过构建一个中交互蜜罐来模拟一个web服务器,并且呈现出蠕虫病毒攻击所需的漏洞,无论何时攻击者与蜜罐建立http连接,蜜罐都会进行响应,使攻击者有机会与模拟的web服务器进行交互。这种交互的程度比低交互的蜜罐交互程度高。在低交互的蜜罐中,攻击者可能只会获得一个http的响应提示。在蠕虫蜜罐的例子中,可以捕获攻击行为的有效载荷,以便对攻击行为进行分析。高交互蜜罐可以为构建者提供大量攻击者的信息,构建和维护非常的耗费时间,而且风险极高,在高交互性的蜜罐中,攻击者可以对真实的操作系统进行访问,系统中有着最真实的漏洞,记录下的入侵信息也都是最真实的。

4.研究现状

Cheswick B在实际工程中首次使用了蜜罐技术,并且列出了详细的交互过程。他们在互联网网关上故意设置了一个著名的send mail调试漏洞,发现攻击者试图获取密码文件副本,进而透漏给攻击者这个密码副本,通过一步步的设置陷阱带领这个攻击者进行相关的操作,以便于获取到这名攻击者的位置信息并且学习这名攻击者的技术。
Kuwatly I等人提出了一种应用于入侵检测领域的动态蜜罐,设计了由高交互和低交互共同作用的,结合了主动探测扫描技术和被动指纹识别技术,可以自主的适应动态的、不断变化的网络环境,可以有效解决蜜罐的静态性、部署难等问题。Buzzio-Garcia J提出了一种基于Docker创建高交互蜜罐的方法,可以用来检测网络级别和主机级别的攻击,此方法可以有效的解决蜜罐的静态性,隐蔽性弱的问题。
enjun Fan等人提出了一种名为HoneyDOC的高效的蜜罐架构,其包含诱饵、捕获器、协调器三个模块,在此基础上设计了一个软件定义网络的蜜罐系统,此蜜罐系统具有较强的识别能力、隐蔽能力和高扩展性。Hecker C等人提出了一种基于网络扫描结果自动动态配置蜜罐的方法,可以确定给定目标网络的网络拓扑、连接的主机、操作系统、开放端口和可访问的服务,用该方法可以帮助系统管理员和研究人员快速轻松的构建单一蜜罐或组成蜜网系统,其动态变化性也可以更好地保护网络。陈启璋等人针对不足,通过采用重定向器和运用拦截代理实现了仿真入侵目标蜜网。解决了系统中存在的安全性不高,迷惑性不强反识别能力弱等问题。石乐义等人提出了动态阵列蜜罐。以诸多真实环境的功能主机为基本单元,通过服务、蜜罐等任务的动态伪随机切换而形成的动态陷阱系统,从而迷惑和干扰敌手。李之棠等人通过将被动指纹识别技术和虚拟蜜罐技术有机的结合提出了一个动态蜜罐的思想,这个动态蜜罐是一个即插即用的蜜罐系统,它通过监控和自学习实时的网络环境,收集网络中计算机的信息能够自动地确定应配置多少蜜罐以及怎样对它们进行配置。贾召鹏等人提出了蜜罐簇的概念,以诸多部署不同真实web应用或服务的蜜罐系统为基本单元,通过协同算法而形成的动态蜜罐系统,对外表现上仍然是一个蜜罐系统,但是可根据攻击特征动态选择应用蜜罐与攻击者交互,对解决蜜罐数据搜集的局限性有一定的成效。

5.蜜罐的缺点

(1) 传统的蜜罐是一个静态的、固定不变的网络陷阱,这种传统的蜜罐对于误入陷阱的攻击者是十分有效的,一旦攻击者意识到这是个陷阱,将会离开,蜜罐将失去功效。
(2) 在高交互的蜜罐中,除存在已知漏洞外,还存在未知的漏洞,已知漏洞是己方设置的诱饵,在己方的掌控中。但是未知漏洞是己方不知道的,没有办法掌握的,若遇到一个高级的攻击者,通过系统中存在的未知漏洞,攻破系统的防御体系,这个攻击者可能会把蜜罐当成一个跳板,对真实的业务系统展开攻击。
(3) 传统蜜罐对先验知识的强烈依赖,在进行自动化检测的时候,传统的检测方法都是基于先验知识的规则库进行检测。对于未知漏洞或协议缺陷等实施的未知攻击,将会存在大量的漏报、误报,蜜罐的作用将大大的打折扣。
(4) 蜜罐技术在数据搜集方面的局限性,蜜罐仅能捕获针对自身的攻击,如果攻击者所攻击的应用或服务不在蜜罐系统中,那么蜜罐将没有作用,将不能捕获到这次的攻击信息。
(5) 传统蜜罐技术不考虑未知后门,如果开发者为方便以后秘密进入或者控制系统在开发过程中故意留有后门,对蜜罐系统或对整个己方的真实系统都构成巨大威胁,传统蜜罐无法检测也无法对其进行防御。

6.Hfish蜜罐的使用介绍

是一款开源的基于 Golang 开发的跨平台多功能主动诱导型蜜罐平台,为了企业安全做出了精心的打造。 不仅仅支持 HTTP(S) 蜜罐,还支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网 等,还提供 API 接口,使用者可以随意扩展蜜罐模块,其侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。官网:hfish.io/#/
在这里插入图片描述
(1)原理
HFish蜜罐系统主要由管理端和节点端2部分组成,其中管理端是用来生成和管理节点端,同时负责接收、分析并展示节点端所回传的数据,节点端则接受管理端的控制并负责构建蜜罐服务。
在这里插入图片描述
(2)典型应用
Hfish蜜罐系统在企业网络中的应用案例网络拓扑如下图所示。
在这里插入图片描述
在这里插入图片描述

内网部署:防御性蜜罐,监测内网攻击。
外网部署:对外进行映射,当做靶机来收集攻击数据,可以用来研究攻击态势。
注意:一定要避免蜜罐节点被当做攻击者的跳板机,要使用严格的策略来进行限制。

(3)节点部署注意事项

1)用户如果同时使用内外网,最好分别在外网和内网部署两套独立的管理端和节点端。
2)如果有节点需要被外网访问,建议把节点和管理端部署在DMZ区域;
3)外网节点除了能范文管理端的TCP/443端口外,不能有权限访问内网中的任何资产;
4)内网节点除了开放蜜罐服务相应的端口外,其他任何端口都不应该在网络中能被用户访问到,如果有维护节点主机的需求,可以向有限的设备(堡垒机)开放SSH端口。
(4)Hfish特点
1)安全可靠:主打低中交互蜜罐,简单有效;
2)功能丰富:支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、无线AP、交换机/路由器、邮件系统、IoT设备等40多种蜜罐服务,支持用户制作自定义Web蜜罐,支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置;
3)开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业威胁、飞书、自定义WebHook告警输出;
4)快捷管理:支持单个安装包批量部署,支持批量修改端口和服务;
5)跨平台:支持Linux x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件;

(5)实际操作

1)首先在官网下载安装包后在自己的环境中安装hfish系统。
在这里插入图片描述
2)登录蜜罐系统,登录界面如下图所示。
在这里插入图片描述
3)点击查看蜜罐管理界面。
在这里插入图片描述
4)在配置界面中增加节点配置。
在这里插入图片描述

系统会自动生成节点注册的脚本文件。
在这里插入图片描述
5)复制系统自动生成的节点注册脚本文件后,在后台中进行增加节点脚本的执行。

在这里插入图片描述

6)后台界面显示脚本执行成功后,可以在管理界面查看到节点已经上线。
在这里插入图片描述

7)点击新增的节点,展开后可以查看到系统节点以及宿主机的具体详细信息。

在这里插入图片描述

8)等到节点配置好后,然后开始部署蜜罐服务。

在这里插入图片描述

9)根据系统已有服务配置自定义蜜罐模板(添加一些用于捕获攻击行为的蜜罐系统,例如常用的OA系统等)。
在这里插入图片描述

10)在节点管理界面中配置并调用自定义的蜜罐模板信息。
在这里插入图片描述

11)在系统后台中配置防火墙开放相应的蜜罐服务的端口。
在这里插入图片描述

12)防火墙开放相应的蜜罐服务端口后,可以进行访问测试,测试发现相关的蜜罐服务已经可以正常访问,并可以尝试进行登录。
在这里插入图片描述
在这里插入图片描述

13)尝试登陆结束后,返回系统管理端页面,已经可以查看到一些具体的告警信息,包括异常登录等。
在这里插入图片描述
在这里插入图片描述

14)使用端口扫描工具对蜜罐服务的端口进行扫描。
在这里插入图片描述
在这里插入图片描述

15)同样的在系统的管理界面可以查看到相关的告警信息在不断的增多。
在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/27012.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ChatGPT 的知识策略,构建低成本的认知助手

ChatGPT 风靡全球!它无处不在。我的朋友不断向我发送 ChatGPT 所做的奇妙和意想不到的事情的例子。ChatGPT 在短短五天内就吸引了超过 100 万用户。 我对 ChatGPT 变得如此出色并不感到惊讶。但令我惊讶的是,在过去两个月中,人们对这些工具的认识有了惊人的增长。这鼓励我帮…

40岁高中老师开源的数据集LAION,改变了生成式AI的未来丨智源大会嘉宾风采

导读 如今,拥有超过50亿个图文对的 LAION数据集已经成为生成式AI未来的中心ーー而随之而来的关于如何监管人工智能的争论也日益激烈。 在德国北部城市汉堡郊区的一栋房屋前,一个信箱上用铅笔潦草地写着一个单词——“ LAION”。这唯一的记号表明&#xf…

OPPO造芯的最后18分钟:CEO数次低头哽咽,3000人团队原地解散

编辑:明敏 杨净 量子位 | 公众号 QbitAI “自古多情空余恨,好梦由来最易醒。” 当OPPO芯片设计公司哲库CEO刘君宣布关停业务解散全员后,停顿数秒、深吸一口气,缓缓说出这样一句诗,似乎总结了自己的所有情绪。 3天前&am…

AI 热潮下,Web3 领域有哪些尚未被发现的宝藏?

整理:angelilu,Foresight News 图片来源:由 无界版图AI 工具生成 这两天社群中传播最多的当属与人工智能预训练语言模型 ChatGPT 的聊天截图,你问我答间也真实感受到了 ChatGPT 的进化,不禁感叹人工智能真的智能了&…

OpenAI CEO谈AI画图明星DALL·E 2:技术突破不多,地气接了不少

Alex 发自 凹非寺量子位 | 公众号 QbitAI 今年都快年末了,蹦出来一个ChatGPT,然后光速走红,服务器都被挤爆好几回。 而往前一看,这样的火爆场面,在4月份DALLE 2发布时也出现过。 不同圈子的人纷纷下场搞起了AI创作&…

开源聊天系统-Vocechat,私有化部署,适合个人和中小企使用,亲测有用

VoceChat 简介 VoceChat是一款支持独立部署的个人云社交媒体聊天服务。15MB 的大小可部署在任何的服务器上,部署简单,很少需要维护。前端可以内嵌到自己的网站下,数据完全由用户自己掌握,传输过程加密。VoceChat 适用于团队内部交…

chatgpt赋能python:Python图形:让数据更生动

Python图形:让数据更生动 Python作为一种高级程序语言,不仅能在数据分析、机器学习、人工智能等领域发挥重要作用,还能通过图形展示数据,让人一目了然地了解数据背后的故事。本文将介绍Python图形的基本概念、工具和应用&#xf…

为什么喜剧节目越来越不好笑了?

昨晚随意点开了一档正在播出的喜剧节目,结果没看完就被“劝退”了,实在是不好笑,关键还尴尬!转了一圈评论,发现果然“英雄所见略同”,评论里对节目的吐槽占了相当一部分。想着另外换个评价好的,…

Windows Service 小品

我们通过 Windows 服务可以创建在 Windows 会话中长时间运行的应用程序。服务可以跟随计算机一起启动,并且可以暂停、停止和重启。Windows 服务和 Windows Form 程序最大的不同点是 Windows 服务没有任何用户界面。Windows 服务一般用于后台处理数据,例如…

【嵌入式Linux开发一路清障-连载03】Ubuntu22.04使用Mount加载硬盘或NAS等硬盘

Ubuntu22.04使用Mount加载硬盘或NAS等硬盘 障碍06-学习资料存储在NAS中,如何方便的访问NAS或其它硬盘中的资料呢?摸索访问共享文件夹利用文件系统中尝访问局域网中的共享文件夹(成功)利用smb协议访问局域网中的共享文件夹&#xf…

帝国CMS7.5小品屋在线小品相声视频网站模板修复版

简介: 帝国CMS小品屋在线小品相声视频网站模板,带手机端。修复部分BUG,升级帝国CMS7.5版本。 后台自带部分测试数据,图片附件未入库,建议测试完成后删除。 火车头采集器已失效,已删除。CKPLAY播放器已失效…

小品-三句半-背诵apk

1. 需求 公司年会要求每个部门出一个节目,我们的界面是小品《三句半》,4个人,每人说一句,奈何台词太长了,故写了个背台词的demo.最终年会10个节目中,获得第二名,很开心。 1.1 apk 下载路径 h…

西湖奇缘(小品)

小青(男扮女),白娘子,许仙,路人甲(程序员),法海 背景西湖,断桥,远处是雷峰塔 白娘子在前,小青紧跟其后,从舞台左侧上台。 白娘子望着远处的断桥,面向观众说。…

计算机学院可以表演的小品,中央戏剧学院小品表演真题之单人小品

中央戏剧学院小品表演真题之单人小品 时间:2019-03-19 中央戏剧学院小品表演真题之单人小品 1.综合部分 (1)讲一件使人发笑的事情。(2讲一件自己最难过的事情。(3讲一段不寻常的经历。(4)打电话告诉对方一件极为愉快的事情。(5)打电话告诉对方一件十分悲痛的事情。(…

用计算机对话的小品,爆笑小品剧本台词《作弊记》

小品深入生活,贴近生活,体验生活,从生活中找灵感。要用艺术的眼光去发现题材,挖掘题材。 人物: 学生甲 学生乙 监考教师 (教室门前)(甲乙边走边聊,乙背着书包,甲两手空空,只在上衣贴…

基于chatgpt的全套智能创作saas源码系统,在这里

chatgpt无疑是2023年最热的项目之一,市面上有很多的基于chatgpt的产品,但是用着都感觉噱头大,不顺手。于是我们自己开发了一套基于chatgptmj绘画的系统。 如果你正在寻找一款领先的源码系统来不是搭建来赚钱,那么您看下我们的产品…

匿名的虚拟卡可以用来干什么?

境外虚拟卡(也称为国际虚拟卡)是一种在国际范围内使用的虚拟支付工具。与国内虚拟卡相比,境外虚拟卡通常具有更广泛的支付范围和更强的国际支付能力。虚拟信用卡具有非常多的优点,拿coincc币卡举例,首先是匿名申请&…

【无套路】免费用 GPT4,为啥这些网站的聚合做的这么好?!

相信很多人已经用上了 GPT-3.5,也就是 chat.openai.com 的免费内容,无需充值,用魔法上网后,按照之前的 教程 注册即可(美区代理 谷歌账号)。 一般到这里就停止了,因为要继续探索 GPT 的能力&a…

【奶奶看了都会】云服务器ChatGLM模型fine-tuning微调,让你拥有自己的知识库

1.背景 大家好啊,上次给大家写了ChatGLM-6B的部署使用教程,【奶奶看了都会】云服务器部署开源ChatGLM-6B,让你拥有自己的ChatGPT 但是因为模型比较小的问题,所以日常工作中可能用不上。而且大家更希望的是模型能训练自己的数据&…

沉痛悼念技术大牛左耳朵耗子(陈皓)

前言:今天转发一篇关于耗子叔的博文,个人觉得耗子叔是中文互联网世界的一个标杆,也是IT界重量级的人物,对于他的离去,深感遗憾和可惜。 版权声明:本文为CSDN博主「CSDN资讯」的原创文章,遵循CC …