釣魚有適法性的問題,蜜罐也不能玩的太過火哦!
上一篇已經有稍微提到蜜罐的作用,這裡再詳細說明,並且對蜜罐分類。
監控: 應該算是最基本、必要的功能。一個蜜罐建立好的環境應該能夠監視攻擊者的操作,例如連線、執行指令、時間等。有了這個基本的機制,才有辦法延伸到其他以下的功能。
樣本分析: 樣本除了指被種下的木馬、病毒等以外,經由攻擊者的手法、路徑發現的攻擊模式也算。
預警: 一旦發現非法入侵的連線,或是已知的病毒樣本,可以發出預警讓「真正」的系統應變。
拖延時間: 攻擊者的時間成本除了可能會花在蜜罐上外,如果預警成功也能增加緩衝的時間。
蜜罐本質上是模擬一個真實的系統,因此能做的事情其實很多,分類方法也很多。這裡先介紹一般的分類,有其他的分類方式再慢慢更新。
如果覺得分類太雜的,我認為可以依模擬真實程度、功能、手法區分即可...
研究型(收集型): 以研究、分析為目的,功能面側重「監控」、「取得樣本」。理論上來說在互動性的分類也會趨近高互動性。
產品型(防禦型): 顧名思義以實用的產品為主,意即能夠幫助單位防禦為主,功能面側重「預警」、「拖延時間」。
高互動性(高模擬環境): 意指蜜罐的模擬程度高,貼近真實的系統,自然比較好收集到更多的資訊; 缺點是成本高,而且安全性必須要考量,不要最後反而變成跳板。
低互動性(模擬特定環境): 這類的技術會與應用系統的發展並進(例如VM,Docker)。雖然相對的資訊收集比較弱,但安全性與易用性也比較高。
被動式: 一般的蜜罐皆是屬於這種放置 play,等著攻擊者上鈎。這種被動式在功能面也才會有「監控」、「預警」的作用。
主動式: 模擬使用者故意中毒、中釣魚。借此來收集其手法、特徵等,偏向功能面的「樣本分析」
與其說手法,不如說是在互動性下再細分的模擬分類。從系統、服務、檔案等等層面去模擬。
大致可以分成吸引攻擊的:
如果放置的不只單一蜜罐,集合而成的蜜罐們還會稱之為「蜜網(Honeynet)」,因為可能包含到整個網路、應用系統及其相關軟硬體。
最後是客戶端蜜罐: 屬於「主動式」,會偽裝成一般的端點,如PC、伺服器、網頁等去探去特定的可疑目標。
駭客止步--誘捕系統Honeypot研究
設蜜罐陷阱引誘駭客上鉤 藉Shodan現形入侵手法
警察上網「釣魚」之適法性。
釣魚」是國家法律允許的陷害?
30天蜜罐品嘗: 這領域果然冷門,歷屆鐵人賽只找到這一個專門講解蜜罐,待研究!
iThome鐵人賽
看影片追技術