众所周知,网络安全的势态逐步提上日程,对于安全防御这块完全就是万金油。(那里不对修那里)。
那么对于攻击的日渐频繁,蜜罐也应运而生:
从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
说道这里就不得不说一下蜜罐的类型了:
1、低交互蜜罐(简单):
低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易)
2、中交互蜜罐(中度):
中交互蜜罐是对真正的操作系统的各种行为的模拟
3、高交互蜜罐(困难):
高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统。
那么我们在这里简单说了一下蜜罐的类型,接下来我们说一下我通过蜜罐捕获东西
看到这里大家或许觉得没啥。那么请看下面一张图
我们就可以清晰的看到在两个小时内,黑客疯狂的攻击我服务器,其中掺杂着ssh,Mysql的攻击和对于邮件的攻击 ETLNET 数据量非常可观
进行大数据的筛查发现123456的密码,可以出看出对于弱口令的情有独钟。
那么扩展性思维:通过部署蜜罐获取SSH账号密码爆破到数据库,这点Cowrie蜜罐做的很好,这就是我比较喜欢cowrie的原因之一。
扩展性··思维·2:我们可以收集其他黑客的渗透手段,分析他们的流程,以及分析他们的所作所为,来更加全面的加固我们的服务器(比如多个蜜罐捕获多种服务)。
蜜罐是一门很让人有兴趣的技术,他从普通的钓鱼思路扩展到了针对于同行的一个针对,说实话,每次看到黑客进入服务器,都会觉得好笑。
同时担忧的是害怕服务器真实的服务器被查到,从而攻破服务器。而且对于蜜罐的多种渗透方式也有,比较常见的就是沙盒逃逸。
目前主要的三种沙盒逃逸技术:
1.沙盒检测:检测沙盒的存在(在检测过程中只显露出友好行为);
2.利用沙盒漏洞:利用沙盒技术或目标环境中存在的安全缺陷;
3.基于环境感知(Context-Aware)的恶意软件:对时间/事件/环境进行判断,并且在沙盒分析过程中不会暴露恶意行为;
对于本文仅仅是为了稍微记一下关于蜜罐的使用以及一些小思路。如有不足,各位大佬请手下留情。