『网络安全』蜜罐到蜜网入门指南（一）蜜罐初识

网络安全，重于泰山，人人有责！

蜜罐，是一种网络安全产品。本文作为《『网络安全』蜜罐到蜜网入门指南》系列的第一篇，从网络安全着手，由浅入深，逐步介绍，带大家初步认识蜜罐。

一、网络安全

如今，是一个网络世界，网络安全至关重要！

上至国家，中至企业，下至个人，都应该重视网络安全。因为它不仅关乎国家，也涉及到我们每个人的切身利益和财产安全。

为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，我国专门制定出台了《中华人民共和国网络安全法》，于2016年11月7日通过、公布，自2017年6月1日起施行。

国家专门制定法律法规，由此可见，网络安全的重要性。希望我们大家可以引起重视，提高网络安全意识，共同维护网络世界和平！

二、重大网络安全事故

随着互联网技术不断发展，越来越多的电子设备接入网络，网络环境日益复杂。

同时，网络攻击也从未停止过！可以说每时每刻，互联网上都在发生着各种网络攻击事件。如：拒绝服务攻击、DDoS攻击、域名劫持攻击、恶意爬虫、网页挂马、非法越权、sql注入、命令执行等。

黑客攻击

为了让大家有一个更直观的感受，列出几个近年来比较重大的网络安全事故，一起看看。

2.1、震网

震网（Stuxnet），是一种蠕虫病毒，复杂度远超一般电脑黑客能力。

震网病毒于2010年06月首次被检测到，是第一个专门定向攻击真实世界中基础设施的蠕虫病毒，比如核电站、水坝、国家电网、工业控制等。

由于震网病毒，60%的感染发生在伊朗，所以被怀疑是由美国和以色列联合研发的计算机蠕虫病毒，目的在于破坏伊朗的核武器计划。

"震网"是第一个震惊世界的网络安全事件。

2.2、Mirai – 物联网的噩梦

Mirai病毒，可以说是物联网的噩梦。主要通过感染那些存在漏洞或者弱口令的物联网（iot）设备。

Mirai像“寄生虫”一样存在设备中，不断扫描被感染设备同网络中的其他设备，进行分裂传播。

弱口令，也叫弱密码，某种意义上可以算是最大的安全漏洞！！！黑客攻击，常用方法之一就是弱口令爆破，建议大家尽量提升密码复杂度。

Mirai通过控制大量物联网设备，形成僵尸网络，以此对目标发起DDos攻击。DDos攻击是常用的"拒绝服务攻击"方法之一，即：同时对目标服务发起大量请求，消耗目标资源，使目标无法正常提供服务。

被黑客控制的设备，我们一般称之为"肉鸡"，任人宰割。

通过Mirai僵尸网络发起的网络攻击事件很多，比较著名的几次攻击，如下：

2016年9月20日，著名的安全新闻工作者Brian Krebs的网站KrebsOnSecurity.com受到大规模的DDoS攻击，其攻击峰值达到665Gbps，Brian Krebs推测此次攻击由Mirai僵尸发动。
2016年9月20日，Mirai针对法国网站主机OVH的攻击突破DDoS攻击记录，其攻击量达到1.1Tpbs，最大达到1.5Tpbs。
2016年10月21日，美国东海岸地区大规模断网事件，据报道，一共有超过百万台物联网设备参与了此次 DDoS攻击。

2016年9月30日，Mirai作者公开发布了Mirai病毒源码。其公布源码的目的大概有两个：一是发现有关机构正在清理其掌控的僵尸设备；二是为了让更多的黑客使用该病毒进行扩散，掩人耳目，隐藏自己的踪迹。

此举效果很明显，后来基于Mirai源码改编，形成了许多Mirai变种病毒。物联网噩梦，从此开始！

也有许多新手黑客，直接使用Mirai源码练习，导致更多物联网设备加入僵尸网络。

2.3、永恒之蓝

2017年5月开始，全球爆发针对Windows系统的“永恒之蓝”勒索病毒。

黑客使用恶意代码通过扫描开放445文件共享端口的windows主机，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件，对主机文件进行加密，以此勒索敲诈，索要300美元比特币赎金。

当时，"永恒之蓝"席卷全球，据报道有90多个国家遭到攻击。乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到袭击，包括政府、银行、电力系统、通讯系统、能源企业、机场等重要基础设施都被波及。

在国内，教育网是遭到攻击的重灾区。_{当时正在写毕业论文的朋友们，你们还好吗？}

三、从通用防御方法到网络安全产品

有攻击就有防御！在网络安全领域中，攻击与防御是一对永恒话题，相辅相成，互相促进。

大量网络攻击事件频发，也促进越来越多的网络安全产品应需而现。

感谢黑客大佬们在一定程度上，为网络安全发展贡献的一份力量！

值得一提的是，网络安全产品并不是突然出现的，而是经过众多网络安全人员长期探索、研究，总结形成的必然产物。

3.1、通用防御方法

在网络安全产品之前，系统运维人员并没有专门的安全工具来防御网络攻击。

值得庆幸的是，最初的黑客技术也相对单一，攻击方式远远没有目前复杂。所以，运维人员采用的防御方法也基本相同，部分可以总结为以下方法：

访问控制：通过口令、身份认证、黑白名单、访问控制表等限制访问。
网络隔离：通过设置防火墙规则，限制网络流量，防止攻击蔓延。如：网络流量只进不出、只出不进或只允许固定来源流量通过等。
漏洞扫描：攻击者可以通过扫描发现漏洞，同样网络防护者也可以通过漏洞扫描工具去发现系统漏洞，提前修复。
入侵检测：根据入侵事件特征检测正在发生或者已经发生的入侵事件。如，内存占用过多、cpu满负荷、未知域名访问等。
安全响应：发现攻击事件后，对它进行处理，发出报警等。

列出的只是部分方法，扩展内容，了解即可。

3.2、网络安全产品

慢慢发展，基于这些通用方法，形成了一系列的网络安全产品。

比如：

防火墙：最成熟的网络安全产品之一，配置合适的防火墙规则，可以阻止很大一部分攻击。
入侵检测系统：与防火墙的被动式防御不同，入侵加测系统具有发现入侵的能力。入侵检测系统可以对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。入侵检测系统一般和防火墙配合使用，可以实现多重防护，构成一个整体的、完善的网络安全保护系统。
漏洞扫描系统：自动探测网络资产，基于漏洞库识别已知漏洞。
防病毒系统：基于已知病毒库，扫描检测主机文件或者下载文件，识别病毒，防止病毒入侵主机、扩散到全网。
数据备份系统：安全不是绝对的，没有哪种产品的可以做到百分之百的安全，但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份。数据备份系统将整个系统的数据或者一部份关键数据通过一定的方法从主计算机系统的存储设备中复制到其它存储设备。
WAF：也叫web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一种产品。

扩展内容，了解即可。

经过不断发展，虽然形成了众多的网络安全产品，但这些依然不能解决问题。安全是相对的，不可能一劳永逸，所以我们必须随时更新技术，迭代产品。

四、不对等的攻防

尽管，有众多的网络安全产品，但是长久以来，网络对抗中，攻防力量从来都是不对等的。

安全攻防这件事，实在是不够公平。

在对抗中，攻击方优势远大于防守方，攻击与防御处于不对等状态，防守一直处于被动防御阶段。

要实现攻击，也许只需要一个漏洞，但是要做到防御，需要找到尽可能多的漏洞。

防御简直不是人干的活！敌众我寡，敌暗我明… 另外，攻击往往发生在深夜！

并且，随着黑客技术的不断发展，网络攻击层出不穷，手段日趋多样化，仅仅依靠被动防御技术已经很难抵御攻击了。

我们急需要由被动变主动，掌握安全防御主动权！

直到主动诱饵技术被提出，蜜罐技术兴起，将被动防御变为了主动防御。

五、蜜罐 – 主动防御

蜜罐技术是一种网络主动防御技术。

一般，蜜罐可以被定义为：一种安全资源，它的价值就在于被探测、被攻击或被攻陷。

通过构建模拟的系统或者服务，达到欺骗攻击者，引诱攻击、增加攻击代价、减少对实际系统或服务安全威胁的目的。

蜜罐，可以是一种服务、一个web页面、一种数据库或者一个完整的操作系统，甚至可以是一个文件。

我们可以理解为：蜜罐是一个被严格监控的计算机资源，包含有看上去很有攻击价值的虚假诱饵数据和一些已知漏洞，以此吸引入侵者攻击。

在蜜罐被入侵的过程中，会实时记录和审计攻击者的攻击流量、行为和数据。用于分析了解攻击者所使用的工具和方法等，便于安全人员后期增强防范措施，攻击溯源、取证等。

END.

原创不易，点个赞呗！如果喜欢，欢迎随意赞赏。