蜜罐的识别

embedded/2024/11/14 12:52:21/

蜜罐技术本质上是对网络攻击方欺骗的一项技术,通过在服务上布置一些仿真的系统、网络服务、或是模拟一些物联网设备来诱惑攻击方对其实施攻击从而捕获攻击行为,分析攻击手段与方式,或是收集一些攻击者的个人信息来进行分析画像达到精准溯源的目的。

蜜罐的识别并不是指对蜜罐本身进行识别,因为蜜罐是网络安全人员主动部署的,而是指攻击者可能如何识别出他们正在与蜜罐交互,或者网络安全人员如何识别出攻击者正在攻击蜜罐。

蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。它并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击。蜜罐的核心价值在于对这些非法活动进行监视、检测和分析,从而了解攻击者的行为和特征。

蜜罐的分类:
蜜罐可以根据不同的标准进行分类,常见的分类方式包括:

  1. 按交互程度分类:
    低交互蜜罐:只模拟部分系统的功能,不提供完全的服务和交互环境。
    高交互蜜罐:提供一个真实的、可进行交互的系统环境,允许攻击者获得系统的完全访问权限。
  2. 按模拟目标分类:
    数据库蜜罐:模拟数据库系统,吸引针对数据库的攻击
    工控蜜罐:模拟工业控制系统,针对工业控制领域的攻击进行监测
    物联网蜜罐:模拟物联网设备,关注物联网安全领域的威胁。
    Web蜜罐:模拟Web服务器和应用,检测Web攻击行为。

蜜罐的识别方法:

  1. 网路扫描与探测:
    使用网络扫描工具(Nmap,Masscan等)对目标网络进行扫描,寻找异常的IP地址或端口。
    分析扫描结果,识别出可能的蜜罐部署位置。
  2. 行为特征分析:
    监测网络流量,分析攻击者在蜜罐上的行为特征,如频繁尝试登陆、扫描端口、发送恶意数据包等。
    结合攻击者的行为模式,判断其是否正在与蜜罐进行交互。
  3. 日志与数据分析:
    收集蜜罐的日志数据,包括网络日志、系统日志、应用日志等。
    对日志数据进行深入分析,提取攻击者的攻击工具、手段、动机、目的等信息。
  4. 蜜罐识别工具与插件;
    利用专门的蜜罐识别工具(如wafw00f、identywaf等)对目标系统进行扫描和识别。
    使用Chrome插件(如Anti-Honeypot)在浏览器层面实时监测并警告可能的蜜罐网站。
    相关插件:
    https://github.com/cnrstar/anti-honeypot
    https://github.com/jayus0821/Armor/releases/download/1.0.0/Armor_1.0.0.rar
    https://gitcode.net/mirrors/graynjo/Heimdallr?utm_source=csdn_github_accelerator

蜜罐识别的挑战与应对:
主要挑战:
蜜罐伪装性高:高交互蜜罐提供了真实的交互环境,使得攻击者难以区分其是否为真实的系统。
攻击者反侦查能力强:一些高级攻击者会使用反侦查技术来绕过蜜罐的监测和识别。

采取措施:
加强蜜罐的伪装性:通过模拟更加真实的系统环境和业务场景,提高蜜罐的欺骗性。
提升蜜罐的监测能力:采用更先进的监测技术和工具,提高蜜罐对攻击行为的感知和响应能力。
加强安全防火措施:在蜜罐周围部署防火墙、入侵检测系统等安全防火措施,防止攻击者绕过蜜罐直接攻击真实系统。

比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。
一般蜜罐里面 F12 被禁用 然后网络那边一直发送HTTP请求给Jsonp,基本上就是蜜罐了


http://www.ppmy.cn/embedded/107179.html

相关文章

docker-记录一次docker-compose部署容器挂载权限问题

一、背景 需要在单独的docker环境部署一套应用程序,包括mqtt,数据库,应用等 二、问题 部署mqtt服务使用的是emqx服务。 下面是部分docker-compose.yml的内容 emqx:container_name: minqing_emqximage: xxx.xxx.cn/minqing/emqx/emqxports:…

Kafka-代码模板

配置:server.properties绑定Kafka服务器生产者配置生产者发送消息消费配置消费者接收消息消费提交springboot 集成 ack‐mode生产者 & 消费者 Kafka事务 配置:server.properties 配置:server.properties #broker.id属性在kafka集群中必…

核心交换机的六个基础知识

首先你要明确一个概念,接入层交换机、汇聚层交换机、核心层交换机并非是交换机的种类或者属性,只是由其所执行的任务来划分的。 从网络拓扑结构来讲,一个计算机网络系统结构需采用三层网络架构:接入层、汇聚层、核心层。 核心层是…

Redis: 用于纯缓存模式需要注意的地方

这里写自定义目录标题 一、核心原理二、配置展示三、问题注意 一、核心原理 在某些场景下,我们只使用的是热点缓存数据,不需要数据的备份与恢复。纯缓存模式-禁用rdb持久化-禁用aof持久化。 二、配置展示 sava “” # 禁用rdb appendonly on # 禁用ao…

【Linux】在 bash shell 环境下,当一命令正在执行时,按下 control-Z 会?

目录 题目分析答案 题目 分析 ctrl-c: 发送 SIGINT 信号给前台进程组中的所有进程。常用于终止正在运行的程序;ctrl-z: 发送 SIGTSTP信号给前台进程组中的所有进程,常用于挂起一个进程;ctrl-d: 不是发送信…

Codeforces Round 969 (Div. 2) ABCD

A题:Doras Set 思路 贪心地想,如果可以的话,我们直接全用连续的3个,这样就能实现最多 但是给出的样例 1 1000 250 说明了有连续的三个不符合的情况 先考虑连续两个的情况,是一定符合gcd(x, x1)1的 因为x1-x1 &am…

力扣860-柠檬水找零(java详细题解)

题目链接:860. 柠檬水找零 - 力扣(LeetCode) 前情提要: 因为本人最近都来刷贪心类的题目所以该题就默认用贪心方法来做。 贪心方法:局部最优推出全局最优。 如果一个题你觉得可以用局部最优推出全局最优&#xff0…

C语言典型例题57

《C程序设计教程(第四版)——谭浩强》 例题4.9 判断整数是否为素数 代码: //《C程序设计教程(第四版)——谭浩强》 //例题4.9 判断整数是否为素数//【数学知识】素数:一个大于1的自然数,如果只…