@局外人
2年前 提问
1个回答

攻防演练中红队如何识别蜜罐

帅末
2年前
官方采纳

可以通过以下方式去做蜜罐识别:

  • BOF 的识别,BOF(Back Officer Friendly);

  • 假代理技术,关注 Honeypot Hunter 软件;

  • Honeyd 的识别,Honeyd 由 Niels Provos 创建,是一个开源程序;

  • 利用 Sebek 识别蜜网,第二、三代蜜网都有这个软件;

  • Tarpits 的识别;

  • 外联数据控制识别,一般蜜罐会严格限制系统向外的流量;

  • 识别 VMware 虚拟机,重点关注 MAC 地址的范围;

  • 用 Nmap 等 Scan 工具,同一个机器同时开放很多 Port 的;

  • 因为很多蜜罐都设置在相同或临近的网段。所以,同一个网段(e.g. /24),很多机器都开放相同的 Port,回应相似的 Response;

  • 去 Shodan/Censys 查。

攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。