@苏苏
2年前 提问
1个回答

反蜜罐技术有哪些

上官雨宝
2年前
官方采纳

反蜜罐技术有以下四种:

  • 主动识别技术:主动识别是指攻击者通过主动发包,根据目标系统反馈特征进行识别。包括TCP/IP协议栈指纹特征识别、系统行为特征识别、饱和攻击特征识别和其他。其中前两种为最为常用的两种方法。

  • 被动识别技术:被动识别主要是攻击者利用嗅探工具捕捉蜜罐网络上的数据包来分析判断蜜罐的存在。如蜜罐的各个部分为了完成功能,就要通过网络有机的联系起来,捕捉信息的传输、日志信息的备份等都要通过网络进行。攻击者可以通过利用嗅探工具捕获蜜罐网络上得分这些异常数据来判断蜜罐的存在。包括IP包特征识别、异常数据包特征识别和其他。

  • 配置失真技术:我们已经知道低交互蜜罐是不能够给敌人提供一个完整的操作系统环境,所以可以通过使用一些复杂的命令和操作,以及一些想不到的输出解决来检查是不是处在蜜罐环境中。另外一种情况就是出现了配置失真,也就是说在一台机器上出现了两种不同平台的服务,举个例子:运行一个Windows的Web服务器同时运行了一个Linux的FTP服务器,这样的话就出现了配置失真。使用nmap -sV这个方法可以来观察开启的服务,如果发现了平台与服务不匹配的,说明这很有可能就是一个蜜罐。

  • 数据包时间戳分析技术:如果我们仅通过查看网络数据包能很容易的推断出一个机器的物理属性,我们就很有可能辨别物理服务器和虚拟蜜罐。事实证明,TCP提供了一些直接反映底层服务器状态的信息。TCP时间戳选项被网络堆栈用于确定重传超时时间。机器中的无历史中安特定频率更新时间戳,我们也知道,所有的物理时钟都有一定时钟偏差,他们或多或少于实际运行时间。通过打开一个到主机的TCP链接,并记录为每个连接所提供的时间戳,就可以去观察时间偏差。我们的希望是每个物理系统或者是操作系统显示出来不同的偏差。如果说一个服务器上运行了多个蜜罐的话,就容易出现每一个蜜罐出现相同的时间偏差,这样的话蜜罐就完全暴露了。这种基于对硬件检测的思想也可以在一定程度上去实现检测是不是蜜罐。