- 蜜罐原理
蜜罐:是一种主动安全防御技术、它通过刻意部署的、包含虚假脆弱性和诱入数据的系统或资源,来吸引、诱骗并探测攻击者行为。(任何对蜜罐的访问尝试在本质上都是恶意的,未经授权的)。
本质是一个诱饵用来被探测、攻陷和攻击。通过模拟各种漏洞(如未打补丁的操作系统、弱密码、有漏洞的服务等)来吸引注意力。
目的将攻击者从真实目标上引开,监测攻击行为:记录攻击者所有操作,包括攻击来源、使用工具、漏洞利用手法、攻击步骤等等。
收集威胁情报:获取最新的攻击工具恶意软件、攻击模式、和漏洞信息、用来增强真实系统防御。
- 蜜罐分类
低交互蜜罐:仅模拟部分网络服务和应用(如FTP服务端口、windows的445端口),攻击者只能进行有限操作。(Specter、Honeyd。)
高交互蜜罐:提供一个真实的操作系统和环境(一台完整的windows服务器),攻击者可疑深度交互,甚至获得系统权限。部署复杂,风险高,需要一定机制(如网络宽带限制)若控制不好可能成为攻击跳板。(自己虚拟机搭建)
深信服SSL VPN蜜罐:基于nginx,可以获取对蜜罐web访问请求,4430端口访问后台管理登录页面。
端口扫描检测蜜罐
windows server系统蜜罐:检测并捕获文件创建、删除、进程创建、注册表变更等信息。
weblogic中间件蜜罐:基于nginx,可以获取对蜜罐http访问请求。
SugerCRM蜜罐、Zabbix、渗透、泛微OA、Discuz论坛蜜罐、致远OA、Tomcat、mysql、邮箱服务器蜜罐、Jboss、Telent、ftp、SSH远程执行、openVPN蜜罐
redis蜜罐:终端执行 redis-cil -h -p 连接上蜜罐,所有命令将会被捕获,默认配置下无需登录账号和密码。 - 蜜罐部署区域
1、运维管理区:管理网是企业或单位单独为各个业务系统、IT资产进行运维管理而组件的网络,一般部署较多终端主机进行运维管理,此区域主机权限一般较高,能够远程访问服务器,交换机等IT资产,存储大量管理员权限账号。
2、数据中心区:数据库、web应用、文件服务等,如果攻击者入侵到此区域,可以延缓攻击者对真实系统的攻击。
3、办公区:一般部署大量终端,可能会用来收集信息、提升权限、横向移动。部署蜜罐可以检测出横向渗透、捕获ARP欺骗、恶意域名访问、文件窃取、僵尸木马等行为。
4、DMZ区:提供对互联网开放的服务,如门户网站、前置机、互联网业务系统等,此区域的信息资产通过安全设备隔离防护后可以与互联网通讯。
