『网络安全』蜜罐到蜜网入门指南（二）蜜罐的起源、作用及分类

原创不易，点个赞呗！如果喜欢，欢迎随意赞赏。

前言

大家好，《『网络安全』蜜罐到蜜网入门指南》进入第二篇。

在第一篇，我们由网络安全入手，由浅入深，引出蜜罐概念。
从这一篇开始，我们将主要围绕蜜罐( honeypot )、密网( honeynet )继续编写后续内容。

任何技术的发展，都是一个漫长过程！时间长河筛选后，总能留下令我们满意的内容。

往期回顾

『网络安全』蜜罐到蜜网入门指南（一）蜜罐初识
『网络安全』蜜罐到蜜网入门指南（三）蜜罐内部组成分析

本文目录

一、蜜罐的起源
二、蜜罐的作用
三、蜜罐的分类

一、蜜罐的起源

蜜罐概念，并非凭空出现，它最早出现在一本小说中：《The Cuckoo’s Egg》。
作者 Cliff Stoll 原本是一名天文工作者，生活所迫，职位调动后，幸运的成为了一名网络管理员。Cliff Stoll 根据自身经历编著，讲述的是自己成为网络管理员后如何追踪并发现一起商业间谍的故事。

Cliff Stoll 是一个真正的计算机安全天才专家，他在 1988 年提出: “蜜罐是一个了解黑客的有效手段” 。

tip：想阅读这本小说的朋友，我这有英文版本和中文翻译版本pdf，在公众号上私信，我发给你们。微信公众号名：程序员的一天。

蜜罐概念被提出后，并没有在第一时间受到关注。
直到 1990 年，Bill Cheswick 发表了一篇论文： 《An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied》 。

在这篇论文中，作者更多的从技术角度，对蜜罐的概念进行了探讨。
作者创建了一个真正的蜜罐，讨论了当黑客在攻击和摧毁大规模系统时，安全人员应如何对其开展研究，并从中发现攻击者的行为方式。

论文内容相当精彩，但美中不足的是依然没有对蜜罐的含义进行准确的界定，也没有探讨蜜罐对于安全领域的价值。

在Bill Cheswick 发表论文之后，蜜罐技术开始慢慢受到安全界的关注，到目前为止，安全研究人员已经研究和开发了多种不同类型的蜜罐产品，并将它们广泛的应用于不同的场合。

蜜罐技术的发展历程大概可以分为三个阶段。下面我们简单了解一下。

1.1、蜜罐发展第一阶段

从 1990 年蜜罐概念的提出到 1998 年，蜜罐技术处于第一阶段。
这时候，蜜罐仅仅局限于一种构想。通常，只有专业的网络管理人员才会应用蜜罐，通过欺骗黑客达到追踪攻击的目的。

在这一阶段的蜜罐，往往是一些真正被黑客攻击的主机和系统。

1.2、蜜罐发展第二阶段

从 1998 年开始，蜜罐技术吸引了一批安全研究人员的注意。
业内专业研究人员相继开发出了一些专门用于欺骗黑客的蜜罐工具，如 Fred Cohen 所开发的 DTK（欺骗工具包）和 Niels Provos 开发的 Honeyd 等开源产品。同时，也出现了诸如 KFSensor、Specter 等一些商业蜜罐产品。

这一阶段的蜜罐，利用蜜罐工具模拟出虚拟操作系统或网络服务，我们可以称之为：虚拟蜜罐。

虚拟蜜罐可以对黑客的攻击行为做出回应，从而欺骗黑客。

另外，虚拟蜜罐工具的出现，使蜜罐部署开始变得简单。

tip：虚拟蜜罐曾经长期被使用，已经变得很容易被黑客识别。如果直接采用上述蜜罐，需谨慎。

1.3、蜜罐发展第三阶段

由于第二阶段的虚拟蜜罐存在着交互程度低，容易被黑客识别等问题。因此，从 2000 年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐。

与之前不同的是，第三阶段蜜罐融入了强大的数据捕获、数据分析和数据控制等工具，将蜜罐纳入到一个完整的蜜罐网络体系中，使得研究人员能够更方便地追踪网络攻击，并对攻击行为进行分析。

这一阶段，蜜罐不再单一部署，通常结合日志审计系统、管理系统、告警系统、前端 web 等，形成一个统一的网络，我们称这个网络为：蜜网（honeynet）。

tip：蜜罐是蜜罐，密网是密网。蜜罐属于密网的核心模块。

密网的出现，使我们可以在云端，统一部署、管理蜜罐。并且，通过web页面人性化的展示，攻击日志、攻击数量、攻击来源等数据一目了然。
密网，有效的降低了使用者门槛，即使不是专业的网络管理员，也能通过密网快速发现攻击。

蜜网技术，是在蜜罐技术上逐步发展起来的一种新技术。密网技术中，蜜罐是核心！所以，我们后面还是会先继续研究、讨论蜜罐，密网技术放到蜜罐之后，会单独讲到，欢迎大家持续关注。

二、蜜罐的作用

在上一篇，我们说到：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。
结合蜜罐的发展来看，我们可以总结出蜜罐的主要作用是：欺骗黑客，诱导攻击，捕获攻击。

除此之外，蜜罐在一定程度上也有保护真实业务、延缓攻击的作用。

试想，一台服务器上部署有两个数据库，一个为真实业务数据库，另一个为蜜罐数据库。那么，黑客攻击真实业务数据库的概率就变为了二分之一。
如今，在密网技术中，蜜罐的部署多采用节点引流方式，十分方便，一台服务器上部署100个蜜罐节点也不是不可能…_夸张了

黑客：“今天收获颇丰啊，这台服务器上有一百个资产暴露，我该先攻击哪一个呢…?”

最后，蜜罐还能基于行为分析，发现 0day 未知攻击。

tip：0day漏洞的危害，攻击发生前，无人可知！

三、蜜罐的分类

从不同的角度，可以对蜜罐进行不同的分类。
但是，多数分类并不严格，对我们而言也没有太多的实际意义。这里主要介绍几种常见的分类方式，了解即可。

3.1、按照用途

按照不同用途，蜜罐可分为：生产蜜罐、研究蜜罐。

生产蜜罐

用于捕获生产环境中的攻击，保护生产环境，主要由公司使用。生产蜜罐被组织放置在生产网络内与其他生产服务器一起，以改善其整体安全状态。通常生产蜜罐是低交互、中交互蜜罐，易于部署。

研究蜜罐

主要用于研究活动，如，如何吸引攻击、搜集信息、探测新型攻击等，以及了解黑客和黑客团体背景、目的和活动规律等。因此，研究型蜜罐对于编写新的入侵检测规则、发现系统漏洞等是很有价值的。

3.2、按照交互程度

欺骗伪装成功的关键在于蜜罐的真实度，交互程度越高，蜜罐看上去越是真实，作用往往越大。

按照不同交互程度，蜜罐可分为：低交互蜜罐、中交互蜜罐、高交互蜜罐。

低交互蜜罐

一般，通过模拟服务主要特征功能，限制黑客在指定的范围内动作，仅允许少量交互。例如，蜜罐在特定端口上监听，并记录所有进出流量数据，可用于检测非法扫描和连接等。

大多数企业都会模拟TCP和IP等协议，这使得攻击者认为他们正在连接到某个真实系统而不是蜜罐环境。

低交互蜜罐可能不够有效，容易被攻击者识破，而且它不足以捕获复杂的威胁，如0day攻击。但是，低交互蜜罐易于部署，维护成本低，也相对安全，不允许访问真正的系统服务。

中交互蜜罐

中交互蜜罐提供了更多的交互信息，但还是没有提供一个真实的操作系统或服务。通过这种较高程度的交互，更复杂些的攻击手段可以被记录和分析。中交互蜜罐是对真正的操作系统或服务的各种行为的模拟，在这个模拟行为的系统中，用户可以进行各种随心所欲的配置，让蜜罐看起来和一个真正的操作系统没有区别。

从开发成本、维护成本、安全等综合因素考虑，项目中使用最多的一般是中交互蜜罐。

高交互蜜罐

高交互蜜罐不是简单的模拟，通常提供的是一个真实的操作系统或服务。高交互蜜罐使得蜜罐被识破的概率大大降低，吸引攻击者攻击的程度也大大提高。但同时，危险性也随之增大，黑客攻入系统的目的之一就是获取root权限，一个高交互级别的蜜罐刚好提供了这样的环境。

高交互蜜罐作用大、风险高，一定要做好网络隔离，避免蜜罐被攻陷后，成为黑客攻击同网络中其他主机的跳板机。

3.3、按照实现方式

按照实现方式不同，蜜罐可以分为：真实服务蜜罐、模拟服务蜜罐。

真实服务蜜罐

类似高交互系统蜜罐，往往是一台真实的物理主机或虚拟机，是一个具有独立 ip 的真实系统，我们把这样的基于真实服务制作而成的蜜罐称为：真实服务蜜罐。

虚拟服务蜜罐

低交互、中交互蜜罐这种，通过代码实现，模拟真实服务部分功能的蜜罐，我们称之为：模拟服务蜜罐。

灵魂一问：二次开发除去部分功能的蜜罐，属于什么蜜罐类型？_{蜜罐分类这件事，不要太在意…}

3.4 按照是否收费

按照是否收费，蜜罐可以分为：开源蜜罐、商业蜜罐。

开源蜜罐

由可爱、帅气的业内专家开发，免费分享、开放源码，提供给大家使用、学习的蜜罐，称之为：开源蜜罐。
开源蜜罐的开发，通常没有一个完整的软件生命周期管理，能实现功能就成，开发周期也相对较慢，无法和商业蜜罐产品相比。

商业蜜罐

专业团队开发、专业公司运营，以赚钱为主要目的的收费蜜罐，称之为：商业蜜罐。

相对商业蜜罐的保密性，开源蜜罐更容易被识别。经费多的用商业蜜罐，经费不够的用开源蜜罐…_问题不大

题外话

在《『网络安全』蜜罐到蜜网入门指南》第一篇发布后，几乎没人关注。这让我失去了更新的动力，谁会愿意辛苦写出来的文章，无人问津呢？

直到，有位读者私信询问我，该系列会写到什么程度。我意识到自己错了，重新拾起了创作动力。只要有一个读者，我便会继续下去!

END.

一位普通的程序员，奋斗路上砥砺前行。工作之余喜欢写些东西，涉及编程、生活、热点等。感兴趣的微信朋友，可以搜一搜：【程序员的一天】，欢迎关注、支持，谢谢！