@南馆潇湘
2年前 提问
1个回答

蜜罐的设计应具备什么

Anna艳娜
2年前

蜜罐的设计应具备以下特性:

  • 逻辑性:蜜罐的搭建需要符合逻辑性。逻辑性包括所处环境符合逻辑,服务组件符合逻辑等。所处环境符合逻辑理解起来很简单。你所部署的应用应该处于正确的信息系统应该所在的位置中。比如说一个harbor不会被办公网环境直接访问到内部的后台系统正常情况下也不会直接暴露在公网而没有任何访问控制。在部署蜜罐时你需要先思考你想要部署的蜜罐类型应该所属的网络环境同时也需要思考清楚对应的配套系统,端口,其他蜜罐服务是否符合常规应用类型;

  • 真实性:真实性指的是蜜罐的真实性,也即其所模拟服务是否具备真正服务的特性或让人难以区分。而蜜罐的真实性又依据蜜罐的特性不同。我们简单的把蜜罐的交互类型分为低交互蜜罐和高交互蜜罐两种。因此如果有任意来源踩点到这些蜜罐我们就可以把它归为可以的行为进而排查而不需要你的蜜罐服务去正常的返回每一个接收到的数据包。当然为了取证和溯源,你可以在服务端记录这些端口蜜罐所接受到的完整数据以便进行分析这是一次误踩,真实的扫描行为还是漏洞利用。

  • 反制性:因此溯源和取证的能力一定也是蜜罐所需要具备的。溯源包括坑包括攻击者的设备信息,IP地址,地理位置,社交账号等。而取证则在于记录攻击者的行为链路和操作历史。对于攻击IP的反制主要包括反向的扫描和机器识别来判断这是一台已被黑客攻陷的肉鸡还是一台萌新黑客自己的pc电脑。同时对其地理信息做溯源和定位。设备信息其实有很多,通过各种web类型蜜罐可以抓到相关浏览器或curl版本。同时构造精确的js探针甚至可以分析出黑客所使用计算机的部分硬件信息。

  • 安全性:安全产品的安全性是必要的,蜜罐作为信息系统中的“陷阱”一方面我们希望黑客可以上钩并被我们察觉,另一方面我们又不希望黑客通过拿下蜜罐节点进行更一步的渗透和恶意行为:提权,逃逸,横向移动甚至内网漫游—这样我们的蜜罐就甚至成为了黑客可以进一步入侵的工具。因此 保障蜜罐的安全性也就至关重要了。