蜜罐是一种主动防御技术,通过暴露诱饵吸引攻击者以捕获和分析攻击行为。文章介绍了蜜罐的定义、工作原理、低中高交互分类及研究现状,分析了其静态性、漏洞风险等缺点。重点讲解了开源蜜罐 Hfish 的架构、应用场景、部署注意事项及实际操作流程,包括节点配置、服务模板定制和告警查看,为企业内网失陷检测和外网威胁感知提供实践参考。
蜜罐是一种主动防御技术,通过主动暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。它本质上是一个被精心设计的陷阱,用于模拟真实环境中的服务或系统,吸引黑客的攻击流量。
蜜罐可以故意暴露一些易受攻击的端口,使这些端口保持在开放状态,主动诱使攻击者进入蜜罐环境中,而不是进入真实的系统。一旦攻击者进入蜜罐环境中,就可以连续跟踪攻击者的行为,实现对攻击者的捕获、攻击路径的溯源,并通过评估攻击者的攻击行为,获取有关如何使真实网络更安全的线索,进而通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐系统根据攻击者与蜜罐的交互级别把蜜罐分为低交互蜜罐、中交互蜜罐和高交互蜜罐。
低交互蜜罐通常是最容易安装、配置、部署和维护的,它的设计和基本功能都很简单,只是模拟各种服务,攻击者仅限于与预先指定的服务进行交互。例如,一个低交互的蜜罐可以用来模拟一个标准的 Linux 服务器,在 Linux 服务器中正在运行的 FTP、SMTP 和 TELNET 等服务。攻击者可以通过远程连接到这个蜜罐,并且获得服务的登录提示,然后通过猜测或暴力破解进行登录尝试,蜜罐将捕获并且收集这些登录尝试,攻击者与蜜罐的交互仅限于登录尝试,并不能登录到这个系统。
中交互蜜罐为攻击者提供了比低交互蜜罐更多的交互能力,如提高一些低交互蜜罐无法提高的响应,但比高交互蜜罐的功能少。例如,可以通过构建一个中交互蜜罐来模拟一个 web 服务器,并且呈现出蠕虫病毒攻击所需的漏洞,无论何时攻击者与蜜罐建立 http 连接,蜜罐都会进行响应,使攻击者有机会与模拟的 web 服务器进行交互。这种交互的程度比低交互的蜜罐交互程度高。在低交互的蜜罐中,攻击者可能只会获得一个 http 的响应提示。在蠕虫蜜罐的例子中,可以捕获攻击行为的有效载荷,以便对攻击行为进行分析。
高交互蜜罐可以为构建者提供大量攻击者的信息,构建和维护非常的耗费时间,而且风险极高,在高交互性的蜜罐中,攻击者可以对真实的操作系统进行访问,系统中有着最真实的漏洞,记录下的入侵信息也都是最真实的。
Cheswick B 在实际工程中首次使用了蜜罐技术,并且列出了详细的交互过程。他们在互联网网关上故意设置了一个著名的 send mail 调试漏洞,发现攻击者试图获取密码文件副本,进而透漏给攻击者这个密码副本,通过一步步的设置陷阱带领这个攻击者进行相关的操作,以便于获取到这名攻击者的位置信息并且学习这名攻击者的技术。
Kuwatly I 等人提出了一种应用于入侵检测领域的动态蜜罐,设计了由高交互和低交互共同作用的,结合了主动探测扫描技术和被动指纹识别技术,可以自主的适应动态的、不断变化的网络环境,可以有效解决蜜罐的静态性、部署难等问题。
Buzzio-Garcia J 提出了一种基于 Docker 创建高交互蜜罐的方法,可以用来检测网络级别和主机级别的攻击,此方法可以有效的解决蜜罐的静态性,隐蔽性弱的问题。
enjun Fan 等人提出了一种名为 HoneyDOC 的高效的蜜罐架构,其包含诱饵、捕获器、协调器三个模块,在此基础上设计了一个软件定义网络的蜜罐系统,此蜜罐系统具有较强的识别能力、隐蔽能力和高扩展性。
Hecker C 等人提出了一种基于网络扫描结果自动动态配置蜜罐的方法,可以确定给定目标网络的网络拓扑、连接的主机、操作系统、开放端口和可访问的服务,用该方法可以帮助系统管理员和研究人员快速轻松的构建单一蜜罐或组成蜜网系统,其动态变化性也可以更好地保护网络。
陈启璋等人针对不足,通过采用重定向器和运用拦截代理实现了仿真入侵目标蜜网。解决了系统中存在的安全性不高,迷惑性不强反识别能力弱等问题。
石乐义等人提出了动态阵列蜜罐。以诸多真实环境的功能主机为基本单元,通过服务、蜜罐等任务的动态伪随机切换而形成的动态陷阱系统,从而迷惑和干扰敌手。
李之棠等人通过将被动指纹识别技术和虚拟蜜罐技术有机的结合提出了一个动态蜜罐的思想,这个动态蜜罐是一个即插即用的蜜罐系统,它通过监控和自学习实时的网络环境,收集网络中计算机的信息能够自动地确定应配置多少蜜罐以及怎样对它们进行配置。
贾召鹏等人提出了蜜罐簇的概念,以诸多部署不同真实 web 应用或服务的蜜罐系统为基本单元,通过协同算法而形成的动态蜜罐系统,对外表现上仍然是一个蜜罐系统,但是可根据攻击特征动态选择应用蜜罐与攻击者交互,对解决蜜罐数据搜集的局限性有一定的成效。
(1)静态性限制 传统的蜜罐是一个静态的、固定不变的网络陷阱,这种传统的蜜罐对于误入陷阱的攻击者是十分有效的,一旦攻击者意识到这是个陷阱,将会离开,蜜罐将失去功效。
(2)未知漏洞风险 在高交互的蜜罐中,除存在已知漏洞外,还存在未知的漏洞,已知漏洞是己方设置的诱饵,在己方的掌控中。但是未知漏洞是己方不知道的,没有办法掌握的,若遇到一个高级的攻击者,通过系统中存在的未知漏洞,攻破系统的防御体系,这个攻击者可能会把蜜罐当成一个跳板,对真实的业务系统展开攻击。
(3)先验知识依赖 传统蜜罐对先验知识的强烈依赖,在进行自动化检测的时候,传统的检测方法都是基于先验知识的规则库进行检测。对于未知漏洞或协议缺陷等实施的未知攻击,将会存在大量的漏报、误报,蜜罐的作用将大大的打折扣。
(4)数据搜集局限性 蜜罐技术在数据搜集方面的局限性,蜜罐仅能捕获针对自身的攻击,如果攻击者所攻击的应用或服务不在蜜罐系统中,那么蜜罐将没有作用,将不能捕获到这次的攻击信息。
(5)后门威胁 传统蜜罐技术不考虑未知后门,如果开发者为方便以后秘密进入或者控制系统在开发过程中故意留有后门,对蜜罐系统或对整个己方的真实系统都构成巨大威胁,传统蜜罐无法检测也无法对其进行防御。
Hfish 是一款开源的基于 Golang 开发的跨平台多功能主动诱导型蜜罐平台,为了企业安全做出了精心的打造。不仅仅支持 HTTP(S) 蜜罐,还支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网 等,还提供 API 接口,使用者可以随意扩展蜜罐模块,其侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
官网:hfish.io/#/
HFish 蜜罐系统主要由管理端和节点端 2 部分组成,其中管理端是用来生成和管理节点端,同时负责接收、分析并展示节点端所回传的数据,节点端则接受管理端的控制并负责构建蜜罐服务。
Hfish 蜜罐系统在企业网络中的应用案例网络拓扑如下图所示。
注意:一定要避免蜜罐节点被当做攻击者的跳板机,要使用严格的策略来进行限制。
首先在官网下载安装包后在自己的环境中安装 hfish 系统。
登录蜜罐系统,登录界面如下图所示。
点击查看蜜罐管理界面。
在配置界面中增加节点配置。
系统会自动生成节点注册的脚本文件。
复制系统自动生成的节点注册脚本文件后,在后台中进行增加节点脚本的执行。
后台界面显示脚本执行成功后,可以在管理界面查看到节点已经上线。
点击新增的节点,展开后可以查看到系统节点以及宿主机的具体详细信息。
等到节点配置好后,然后开始部署蜜罐服务。
根据系统已有服务配置自定义蜜罐模板(添加一些用于捕获攻击行为的蜜罐系统,例如常用的 OA 系统等)。
在节点管理界面中配置并调用自定义的蜜罐模板信息。
在系统后台中配置防火墙开放相应的蜜罐服务的端口。
防火墙开放相应的蜜罐服务端口后,可以进行访问测试,测试发现相关的蜜罐服务已经可以正常访问,并可以尝试进行登录。
尝试登陆结束后,返回系统管理端页面,已经可以查看到一些具体的告警信息,包括异常登录等。
使用端口扫描工具对蜜罐服务的端口进行扫描。
同样的在系统的管理界面可以查看到相关的告警信息在不断的增多。
蜜罐技术作为主动防御体系的重要组成部分,能够有效弥补传统被动防御的不足。通过部署 Hfish 等现代化蜜罐系统,企业可以实现对内网横向移动的早期预警以及对互联网攻击面的实时感知。
在实际应用中,建议遵循以下原则:
随着网络攻击技术的演进,蜜罐技术也在向智能化、动态化方向发展。结合 AI 分析和自动化编排,未来的蜜罐系统将能更精准地识别高级持续性威胁(APT),为企业构建更坚固的安全防线。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
