蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 设置蜜罐并不复杂,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行,然后在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。
有两种基本类型的蜜罐技术:
高交互性蜜罐—设置一个全功能的应用环境,引诱黑客攻击。
低交互性蜜罐—模拟一个生产环境,所以只能提供有限的信息。
当多个蜜罐被网络连接在一起时模拟一个大型网络,并利用其中一部分主机吸引黑客入侵,通过监测、观察入侵过程,一方面调查入侵者的来源,另一方面考察用于防护的安全措施是否有效。这种由多个蜜罐组成的模拟网络就称为蜜网。
当一个攻击者试图侵入蜜网时,入侵检测系统会触发一个报警,一个隐藏的记录器会记录下入侵者一切活动,当入侵者试图从蜜网中转向真实主机时,一个单独的防火墙会随时把主机从Internet上断开。
对蜜罐与蜜网的所有流量都要进行分析与质疑,因为蜜罐与蜜网毕竟是一种设计出来的虚拟网络,从中收集到信息是为了分析与修补真实网络中存在的漏洞。蜜罐与蜜网技术将成为网络安全的重要组成部分。
如果蜜罐被设计从互联网来访问,可能会有一个风险,创建非信任站点列表的外部监控组织可能会报告组织的系统是脆弱的,因为他不知道这个脆弱性是属于蜜罐而不是系统自身。这个问题可能会造成公众影响组织的声誉,因此,在互联网上实施一个蜜罐之前应仔细判断是否要这样做。
