在许多情况下,对于安全人员来说最有力的工具就是知己知彼。为了很好地保护网络和信息系统的安全,安全人员需要知道对手是什么样的人,正在进行什么类型的攻击,对手是用什么攻击工具和技术,某种技术的有效性如何,这种工具会对网络造成什么影响。通常这种信息通过白皮书、会议、新闻组甚至口头传播。在某些情况下,攻击工具开发者本人就会提供许多信息来帮助人们提高系统安全性。也可以通过检查和取证分析获得此类信息,经常是在重大事件已经发生,对信息系统造成破坏之后。收集这类信息的最有效的方法之一就是获得第一手资料---当攻击者侦测网络、寻找和发掘入侵网络的方法时观察它们。为了在不暴露关键信息系统的前提下达到此目的,安全研究人员经常使用“蜜罐”技术。
蜜罐(Honeypot或Honeynet)有时也称为数字沙箱。本质上,蜜罐是一个让攻击者进入并观察他们的人工环境,避免对真正的系统造成危害。好的蜜罐看起来像一个真正的网络、应用服务器、用户系统和网络流量等,但是通常是由一个或几个系统运行特定的软件模拟大多数目标网络的用户和网络通信流。
蜜罐实际上只由一个运行对检测、扫描和攻击进行响应的软件系统,却让攻击者感到似乎是一个完整的网络系统。当攻击者连接蜜罐时,呈现给他们的是一个包括服务器、PC和各种应用程序的“虚拟”网络。多数情况下,蜜罐看上去像是运行着一个有已知漏洞的系统或应用程序。这样就给攻击者准备了一个富有诱惑力的不能抗拒的目标。
每次攻击者受到诱惑侦测和攻击虚拟网络时,蜜罐就记录所有的活动供以后分析:攻击者做了什么,他们注意什么样的系统和应用,他们运行什么工具,他们逗留了多长时间,等等。所有这些信息会被收集和分析,以便安全人员更好地理解系统面临的威胁并采取保护措施。目前使用的蜜罐系统很多,从无线网络到拒绝服务攻击,多数系统有研究机构、政府和执法机构运行维护。但目前没有商业机构运行蜜罐系统,因为需要许多时间和精力来管理维护,而对蜜罐收集到的流量信息进行分类、分析的成本则更高。除了开发安全工具的公司外,多数公司只把有限的精力放在防御攻击者上,有的公司甚至只要攻击者能够被阻挡,没有影响业务运行,就不会意识到对攻击者进行监视的重要性。