蜜罐技术本质上是对网络攻击方欺骗的一项技术,通过在服务上布置一些仿真的系统、网络服务、或是模拟一些物联网设备来诱惑攻击方对其实施攻击从而捕获攻击行为,分析攻击手段与方式,或是收集一些攻击者的个人信息来进行分析画像达到精准溯源的目的。
蜜罐的识别并不是指对蜜罐本身进行识别,因为蜜罐是网络安全人员主动部署的,而是指攻击者可能如何识别出他们正在与蜜罐交互,或者网络安全人员如何识别出攻击者正在攻击蜜罐。
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。它并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击。蜜罐的核心价值在于对这些非法活动进行监视、检测和分析,从而了解攻击者的行为和特征。
蜜罐的分类:
蜜罐可以根据不同的标准进行分类,常见的分类方式包括:
- 按交互程度分类:
低交互蜜罐:只模拟部分系统的功能,不提供完全的服务和交互环境。
高交互蜜罐:提供一个真实的、可进行交互的系统环境,允许攻击者获得系统的完全访问权限。 - 按模拟目标分类:
数据库蜜罐:模拟数据库系统,吸引针对数据库的攻击
工控蜜罐:模拟工业控制系统,针对工业控制领域的攻击进行监测
物联网蜜罐:模拟物联网设备,关注物联网安全领域的威胁。
Web蜜罐:模拟Web服务器和应用,检测Web攻击行为。
蜜罐的识别方法:
- 网路扫描与探测:
使用网络扫描工具(Nmap,Masscan等)对目标网络进行扫描,寻找异常的IP地址或端口。
分析扫描结果,识别出可能的蜜罐部署位置。 - 行为特征分析:
监测网络流量,分析攻击者在蜜罐上的行为特征,如频繁尝试登陆、扫描端口、发送恶意数据包等。
结合攻击者的行为模式,判断其是否正在与蜜罐进行交互。 - 日志与数据分析:
收集蜜罐的日志数据,包括网络日志、系统日志、应用日志等。
对日志数据进行深入分析,提取攻击者的攻击工具、手段、动机、目的等信息。 - 蜜罐识别工具与插件;
利用专门的蜜罐识别工具(如wafw00f、identywaf等)对目标系统进行扫描和识别。
使用Chrome插件(如Anti-Honeypot)在浏览器层面实时监测并警告可能的蜜罐网站。
相关插件:
https://github.com/cnrstar/anti-honeypot
https://github.com/jayus0821/Armor/releases/download/1.0.0/Armor_1.0.0.rar
https://gitcode.net/mirrors/graynjo/Heimdallr?utm_source=csdn_github_accelerator
蜜罐识别的挑战与应对:
主要挑战:
蜜罐伪装性高:高交互蜜罐提供了真实的交互环境,使得攻击者难以区分其是否为真实的系统。
攻击者反侦查能力强:一些高级攻击者会使用反侦查技术来绕过蜜罐的监测和识别。
采取措施:
加强蜜罐的伪装性:通过模拟更加真实的系统环境和业务场景,提高蜜罐的欺骗性。
提升蜜罐的监测能力:采用更先进的监测技术和工具,提高蜜罐对攻击行为的感知和响应能力。
加强安全防火措施:在蜜罐周围部署防火墙、入侵检测系统等安全防火措施,防止攻击者绕过蜜罐直接攻击真实系统。
比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。
一般蜜罐里面 F12 被禁用 然后网络那边一直发送HTTP请求给Jsonp,基本上就是蜜罐了