更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号
分类: 网络与安全
2022-06-21 14:40:47
从事网络安全相关工作的人员,肯定都接触过很多既熟悉又陌生的词汇,比如:蜜罐、蜜饵、蜜标、蜜网……这些词分别指什么意思?小编通过这篇文章为大家介绍一下。
蜜罐是什么?
在网络安全领域里,人们把欺骗攻击者的诱饵称为蜜罐。
蜜罐需要基于一个节点进行布置,它看起来可能是一个树莓派、一个摄像头,或者一个打印机,它可以部署在任意的网络位置,通常用于收集到达特定网络节点的攻击情报,并缓解相同网段的其他生产设备与资源受到的攻击。
蜜罐的工作原理简单易懂。一个成功的蜜罐往往会伪装成很有诱惑力的系统,攻击者进入以后,可能会获取他们想要的重要数据。但是从攻击者进入的一瞬间开始,他们的所作所为都将被蜜罐完整记录下来,成为防守方手中的重要信息。而且,蜜罐里的业务并不是真实的,攻击者将在蜜罐中白忙活一场,什么都得不到。
蜜饵是什么?
蜜饵一般是一个文件,工作原理和蜜罐类似,也是诱使攻击者打开或下载。当黑客看到XX下半年工作计划.docx、XX环境运维手册.pdf、员工薪酬名单.XSLX这种文件时,往往难以忍住下载的欲望,这样就落入了防守方的陷阱。当防守方发现这里的文件有被打开过的痕迹或攻击者跟随蜜饵文件内容进行某种操作时,就可以追溯来源,发现被攻陷的设备。
蜜标是什么?
我们可以把蜜饵进一步改造,在word文档、PDF文档中植入一个隐蔽的链接,当攻击者打开这个文件时,链接可以被自动触发,防御者可以借机获取攻击者的真实网络地址、浏览器指纹等信息,从而直接溯源定位攻击者真实身份。这种带有URL地址的蜜饵就是蜜标。
蜜网是什么?
我们在使用蜜罐的时候,往往会在一个网络里放很多罐,以增加攻击者踩中蜜罐几率。简单的说:蜜网就是一大片蜜罐,连成了网,但是这张网需要和业务强相关。攻击者在试图攻破我们的系统时,为了拿到自己想要的东西,往往会重点攻击和业务相关的节点。因此,我们可以参照真实的业务环境,在攻击者的必经之路上放罐,给攻击者提供横向移动的空间和更丰富的入侵接口。这样,当攻击者踩过一连串蜜罐的时候,我们就能轻松地看到攻击者的手法和习性。
这种高度复杂的诱饵环境,就是蜜网。