什么是“蜜罐”

1. 定义

作为网络安全领域的一种主动防御技术，主要通过设置诱饵来引诱攻击者，从而捕获和分析攻击行为。

根据交互级别进行分类：

低交互

蜜罐：轻量级诱饵，提供有限容易设置的信息。系统本身提供最低等级的交互，或者接近没有交互，防守方设置起来比较方便，运维起来方便，但是也容易被攻击者识别到。

高交互

蜜罐：允许黑客自由活动，获取更多的信息。黑客（攻击者）和蜜罐交互的次数越多，彼此也就越发了解对方，可以从对方身上获取到的信息也就越多。对于攻击者来说就会更加便于横向渗透，对于防守方来说也就更加便于后续的溯源分析。

2.蜜罐工作原理

虚拟环境部署

蜜罐通常在一个独立的计算机或虚拟机中运行，模拟一个操作系统和应用程序。这个环境看起来像是一个真实的系统，但实际上是用来吸引攻击者的陷阱。

• 模拟漏洞和弱点

蜜罐中的系统和应用程序被设置成含有漏洞和弱点，这些漏洞通常与真实系统相似，以诱骗攻击者利用这些漏洞进行攻击。

• 监控和分析

当攻击者入侵蜜罐时，它会记录攻击者的行为并进行分析。安全专业人员可以通过这些数据来发现异常行为，从而及时发现和应对潜在的网络威胁。

• 诱骗攻击者

蜜罐通过模拟各种系统和应用程序来吸引攻击者，使其看起来像是系统、网络或其他数字环境的合法部分。目的是引诱攻击者远离真正的企业资产。

• 低误报率

由于蜜罐不提供任何实际服务，也没有合法用户，因此所有流入或流出蜜罐的网络通信都被视为可疑的。这使得蜜罐作为安全产品使用产生的告警

误报率较低

，有助于更准确地识别攻击行为。

3、其他概念扩展

• 蜜饵

一般是一个文件，工作原理和蜜罐类似，也是诱使攻击者打开或下载。当黑客看到“XX下半年工作计划.docx”、“员工薪酬名单-20210630.xslx”这种文件时，往往难以忍住下载的欲望，这样就落入了防守方的陷阱。当防守方发现这里的文件有被打开过的痕迹或攻击者跟随蜜饵文件内容进行某种操作时，就可以追溯来源，发现被攻陷的设备。

• 蜜标

我们可以把蜜饵进一步改造，在 Word 文档或者PDF 文档中植入一个隐蔽的链接，当攻击者打开这个文件时，链接可以被自动触发，防御者就可以借机获取攻击者的真实网络地址、浏览器指纹等信息，从而直接溯源定位攻击者真实身份。这种带有URL地址的蜜饵就是蜜标。

• 蜜网

当多个蜜罐被网络连接在一起时模拟一个大型网络，并利用其中一部分主机吸引黑客入侵，通过监测、观察入侵过程，一方面调查入侵者的来源，另一方面考察用于防护的安全措施是否有效。

• 蜜场

蜜场同样是分布式蜜罐的一种形式。但在蜜场中，攻击者踩中的是虚拟的蜜罐，经过重定向以后，由真实的蜜罐进行响应，再把响应行为传到虚拟蜜罐。

4、做个小实验：

测试环境使用的是

HFISH

，一个免费蜜罐（项目承诺是永久免费的），现在好像是和微步有合作。搭建步骤很简单，直接参考官网就行：

https://hfish.net/#/

。

官网有很详细的介绍

，包括如何部署、如何排错、如何配置、如何应用等。

本篇文章只是介绍简单使用，登录进来之后

首页

。我这里做过一些测试，所有会有一些数据，正常都是为0。
（1）首先来到“

环境管理—>模板管理

”,这里我们测试创建一个

MYSQL数据库

模板。

（2）然后我们在“

环境管理—>节点管理

”中应用我们创建的模板。

（3）我们测试一下模板是否可用。
直接测试一下3306端口

然后，可以看到针对3306端口扫描测试，持续了1S。后面其他的告警是我做的一些其他的测试。比如针对ICMP的测试等，感兴趣的小伙伴可以参考官网继续深入学习。

5、总结：

（1）参考HFISH官网部署完蜜罐之后其实是可以直接使用的，但是为什么我还是要多此一举创建模板定义端口呢？因为在客户真正的业务系统当中，都是“

专机专用

”。也就是一台服务器/一台虚拟机中，一般只运行一种业务，比如说MYSQL服务器中只运行MYSQL数据库且只监听

port：3306

。更别说一台机器上面运行着七八种业务，显得极其不专业，也更加容易被黑客识别并暴露。
（2）蜜罐在护网当中真的是一个很方便的工具。甲方在护网正式开始之前一般都会邀请安全厂家协助护网，对现有的安全产品进行巡检、升级、加固等，也会对网络内的业务系统进行梳理等等操作。在护网正式开始之后，就会有一项很重要的工作，需要安全厂商配合甲方完成，同时也是一个展示自己实力的好机会。那就是通过分析安全产品的告警反馈给甲方，由甲方反馈给裁判组，来拿分。甲方现场会有很多的安全产品：入侵检测、防火墙、全流量、WAF等诸多安全厂家的安全产品；还有一些用于展示类的平台，比如态势感知、日志审计。这些安全产品在甲方大流量的场景下会在短时间（1S）内产生大量的告警，上千条或者上万条告警或者更多，但是这些告警真真假假，需要人工研判，这会消耗并浪费很多的时间以及人。但是蜜罐系统上显示的告警大概率是准确的。

因为在护网这样紧张的情境下，还有人胆敢对网内资产进行扫描和试探，那不是“匪”就是“贼”，直接拿下。

（3）护网和重保都是很有大的话题，后面会不定期更新介绍。