iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 14
0

從最初的蜜罐Honeypot,多個蜜罐組成的honeynet,到用戶端的honeycliet,乃至各種honeytoken,這種以欺騙為主的防禦手法,宛如千面人般隱藏在一般網路裡,靜待駭客觸發警報。那麼我們是否能將Honeypot 配置在網站裡面呢?

這裡介紹一下網站常遇到、非人為的威脅。人為威脅通常指真的有駭客試著攻破網站的防禦措施,透過嘗試利用已知手法如OWASP Top 10攻擊,或者嘗試開採0-Day漏洞,在網站修補漏洞前奪得掌控;非人為威脅指的是web crawler爬蟲,或稱web spider、Internet bot。

crawler本身並無好壞,只是會自動瀏覽網站內容,並根據本身設定好的行為執行某些特定動作,例如蒐集特定資料、整理等等。但若被利用在惡意行為上,會自動執行設定好的腳本,這時我們便可以用honeypot的手法欺騙爬蟲,擾亂蒐集行為,或反過來辨識惡意IP來源。

Project Honey Pot
https://www.projecthoneypot.org/index.php

Project Honey Pot是一個專注於應付crawler手法的honeypot組織。因為crawler會被用來瀏覽網站的每個網頁蒐集電子郵件,方便日後發送垃圾郵件或釣魚郵件,所以我們預先設好假的網頁(有時候叫honeypage),上面有假的電子郵件(例如 honeypage@domain.com),因為一般正常訪客不會造訪這個假的網頁,當crawler瀏覽我們佈下的陷阱,便可以反推那是crawler並追出來源IP;當垃圾郵件或釣魚郵件寄到假的電子郵件(honeypage@domain.com)時,我們也可以認定郵件來源IP應加入黑名單中。
Project Honey Pot 目前支援以下幾種主流技術建造的網站如PHP, Perl, mod_perl, ASP, Python, ColdFusion, SAP Netweaver BSP等,如果你沒有建造網站而是使用現成的blog,他們也提供幫忙的方法叫做QuickLinks,基本上就是在網頁中加入一個連結至一個honeypage,有教學改變連結本身而避免一般正常訪客誤點擊QuickLinks,避免誤判。

"Someone started all of this. Now I'm gonna find them" -- The Bourne Ultimatum


上一篇
[Day 13] 30天蜜罐品嘗 : Canarytoken Part 2
下一篇
[Day 15] 30天蜜罐品嘗 : 一點感想
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言