浅谈蜜罐机制

众所周知，网络安全的势态逐步提上日程，对于安全防御这块完全就是万金油。（那里不对修那里）。

那么对于攻击的日渐频繁，蜜罐也应运而生:

从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。

从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。

这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

说道这里就不得不说一下蜜罐的类型了:

1、低交互蜜罐（简单）：

低交互蜜罐最大的特点是模拟（设计简单且功能有限，安装配置和维护都很容易）

2、中交互蜜罐（中度）:

中交互蜜罐是对真正的操作系统的各种行为的模拟

3、高交互蜜罐（困难）：

高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的系统。

那么我们在这里简单说了一下蜜罐的类型，接下来我们说一下我通过蜜罐捕获东西

看到这里大家或许觉得没啥。那么请看下面一张图

我们就可以清晰的看到在两个小时内，黑客疯狂的攻击我服务器，其中掺杂着ssh,Mysql的攻击和对于邮件的攻击 ETLNET 数据量非常可观

进行大数据的筛查发现123456的密码，可以出看出对于弱口令的情有独钟。

那么扩展性思维：通过部署蜜罐获取SSH账号密码爆破到数据库，这点Cowrie蜜罐做的很好，这就是我比较喜欢cowrie的原因之一。

扩展性··思维·2：我们可以收集其他黑客的渗透手段，分析他们的流程，以及分析他们的所作所为，来更加全面的加固我们的服务器（比如多个蜜罐捕获多种服务）。

蜜罐是一门很让人有兴趣的技术，他从普通的钓鱼思路扩展到了针对于同行的一个针对，说实话，每次看到黑客进入服务器，都会觉得好笑。

同时担忧的是害怕服务器真实的服务器被查到，从而攻破服务器。而且对于蜜罐的多种渗透方式也有，比较常见的就是沙盒逃逸。

目前主要的三种沙盒逃逸技术：

1.沙盒检测：检测沙盒的存在（在检测过程中只显露出友好行为）；

2.利用沙盒漏洞：利用沙盒技术或目标环境中存在的安全缺陷；

3.基于环境感知(Context-Aware)的恶意软件：对时间/事件/环境进行判断，并且在沙盒分析过程中不会暴露恶意行为；

对于本文仅仅是为了稍微记一下关于蜜罐的使用以及一些小思路。如有不足，各位大佬请手下留情。