從前面介紹的低交互、高交互蜜罐honeypot，到由多個蜜罐組成的蜜網honeynet，在第四天《30天蜜罐品嘗 : 蜜罐的優缺點》一文中已經介紹蜜罐這種虛擬陷阱手法的缺點，這些缺點在小規模網路環境並不明顯，但是在企業網路環境中，當我們要應用蜜罐的手法作為防禦手段時，這些缺點往往會造成問題。

之前文內提到很多人不知道如何正確安裝、佈署、維護蜜罐。雖然Modern Honey Network (MHN)提供一個很好的架構平台讓我們能集中管理、部署蜜罐，但如果我們要配置幾百個、乃至幾千個蜜罐，包含不同種類的高、低交互蜜罐分散在不同網段，MHN的Deploy功能便顯得不足；如果今天T-Pot更新為新版本，我們要更新所有網路環境內的T-Pot蜜罐，也需要時間和精力去重新設定。設定錯誤或未更新的蜜罐，根本是等著爆炸的定時炸彈，可能變成網路防禦的缺口。

無論怎麼樣欺騙誘導，如果駭客沒有攻擊蜜罐，蜜罐並不會偵測到駭客的惡意行為。針對蜜罐這樣靜態的缺點，駭客可以觀察網路的架構，判斷是否為蜜罐進而避免觸發警示。例如知名的網站Shodan有Honeyscore這個工具，判斷目的地IP網址是否為蜜罐
https://honeyscore.shodan.io/

當發現一個伺服器孤單地在一個獨立的網段，沒有和其他端點或伺服器互動，它有可能就是一個蜜罐，因為很常獨立劃分一個網段給蜜罐或蜜網，而不是和實際的伺服器或一般用戶網段一起部署，所以反過來說，若是在這網段裡發現port 9100的印表機，就不會是蜜罐的網段；另一種方法是從伺服器或端點本機的紀錄下手，若是從Terminal使用紀錄發現用戶曾經用SSH登入伺服器A，或是以FTP、SCP等等指令和伺服器A互動，那麼伺服器A極為可能不是蜜罐。

近幾年來，Deception成為一個熱門詞彙，因為商用的Deception產品就是針對前面提到那些問題的答案，可以說從單一的蜜罐Honeypot，複數組合的蜜網honeynet，到次世代、完整動態的Deception防禦。

明天繼續介紹Deception和蜜罐的比較。

「你有計謀，別人也會有，互相周旋，一層蓋一層」--《火鳳燎原》