如何把黑客引去我们部署的蜜罐中但又不阻碍正常用户的访问呢?
最近在做学校的课程设计实验,题目是蜜罐,之前做过验证性的蜜罐实验,感觉没什么用,昨天在centos虚拟机上搭建了honeyd蜜罐,问题很多,安装这个缺少那个的,各种包挺多的,还好有大佬的步骤,最后安装好了,然后今天就在想,弄了蜜罐之后,真实用户怎么得到服务器提供的服务呢?经过一番百度,在百度文库中找到了,蜜罐是没有域名的。真实用户不会去直接访问ip的。
-
定义:
蜜罐是一个在网络上专门让黑客攻击的,带有漏洞的真实系统。它具有正式IP地址,但没有域名。因为没有域名,网络用户访问不到这些资源,但黑客利用扫描却可以找到它,以此吸引黑客攻击。 -
特征:
黑客在蜜罐上的活动会产生一些数据,采集这些总量较少而又价值较高的数据将会使我们较为容易地了解黑客的方法和动向,这是蜜罐的主要功能。允许黑客在蜜罐上有所活动,需要考虑由此带来的风险,因此,黑客的活动范围应该是受限的。 -
组成:
蜜罐一般由网络服务,数据采集,黑客活动监控三部分组成。为了吸引黑客的注意,蜜罐一般表现为提供某种网络服务。数据采集部分要记录尽可能多的黑客活动信息,同时避免被黑客察觉。此外,还需要黑客活动监控设施以控制风险。 -
附加价值:
蜜罐的存在分散了黑客对生产系统的注意力,影响了黑客对攻击目标的选择。当黑客选择蜜罐作为攻击目标时,耗费了黑客的时间和精力,延迟了黑客实施有效攻击的时间;由于网络用户的正常活动一般访问不到蜜罐,对蜜罐的任何访问都被认为是可疑的,黑客在蜜罐上的活动从一开始就会被注意到。就是说蜜罐可以使黑客的活动较早地暴露出来。 -
蜜罐对信息安全的直接作用是不大的,它主要作用是更多的了解黑客,提高安全防范水平。蜜罐首先要伪装的真实,让黑客难于识破真伪。服务仿真虽然简单、成本低,但难于逼真,得不到多少有用信息。使用真实的服务器是好办法,但在打补丁方面要灵活掌握,完全不打补丁容易被黑客识破,全面打补丁也会让黑客畏而远之。在对黑客行为进行控制方面要宽严适度,太宽风险太大,太严也留不住黑客。另外在攻入系统后,往往要清楚自己活动的痕迹,这时的系统日志是不可全信的,所以蜜罐必须有自己独特的信息采集手段。
本文参考百度文库:https://wenku.baidu.com/view/47f8643a5727a5e9856a61bc.html
honeyd在centos上的安装参考:https://blog.csdn.net/Wu000999/article/details/91351651
谢谢!