蜜罐是用來欺騙駭客的虛擬陷井，除了前面介紹的幾種方式和手法，模擬一個或多個伺服器被動地等待攻擊；另外也有主動找尋現有伺服器是否被駭而散播惡意程式的方法，稱之為client honeypot 或 honeyclient

當伺服器被駭攻擊、佔領後，駭客通常會植入新的惡意內容，以此做為跳板繼續攻擊，散播惡意程式，尤其是內網網站伺服器，被攻擊後駭客可以運用各種script 甚至無檔案式手法(fileless attack)，用於感染更多位於內網的電腦，若是傳統只注重邊界防禦，輕視內網間流量的架構，沒有適合的工具偵測。我們要怎麼偵測這種行為呢？

運用特殊的蜜罐client honeypot，我們可以造訪網站或伺服器，這些蜜罐同樣分為高交互式與低交互式兩種，有的只模擬瀏覽器功能，有的互動性強，除了模擬瀏覽器，還會模擬系統，將瀏覽器造訪網站、下載執行乃至無檔案式攻擊在記憶體裡執行的行為都可以捕捉。一旦偵測到惡意行為，client honeypot 可以通知資安團隊處理。

下次將介紹一個client honeypot叫做YALIH (yet another low interaction honeyclient)

「荊軻刺秦，一步勝一步」《火鳳燎原》

PS: 這篇是在機場打完的，特以此紀念。