蜜罐技术 _原创精品文档.pdfVIP

蜜罐（Honeypot）技术

蜜罐技术是入侵检测技术的一个重要发展方向，它已经发展成为诱骗攻击者的一种非

常有效而实用的方法，它不仅可以转移入侵者的攻击，保护主机和网络不受入侵，而且可

以为入侵的取证提供重要的线索和信息。

蜜罐概述

蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法

闯入他人计算机系统的人而设计的。蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一

个或者多个易受攻击的主机，给攻击者提供一个容易攻击的目标。由于蜜罐并没有像外界

提供真正有价值的服务，因此所有链接的尝试都将被视为是可疑的。蜜罐的另一个用途是

拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。这样，最初的攻击目标得到

了保护，真正有价值的内容没有受到侵犯。此外，蜜罐也可以为追踪攻击者提供有用的线

索，为起诉攻击者搜集有力的证据。从这个意义上说，蜜罐就是“诱捕”攻击者的一个陷

阱。

1.1蜜罐的概念

L.Spitzner是一名蜜罐技术专家，他对蜜罐做了这样的定义：蜜罐是一种资源，它的

价值是被攻击或者攻陷，这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐

不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计

算机网络安全，但它却是其他安全策略所不可替代的一种主动防御技术。

无论使用者如何建立和使用蜜罐，只有蜜罐受到攻击，它的作用才能发挥出来。为了

方便攻击者攻击，最好是将蜜罐设置成域名服务器（DNS）、Web或者电子邮件转发服务等

流行应用中的某一种。

1.2蜜罐的安全价值

根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐。

1、产品型蜜罐

产品型蜜罐一般运用于特定组织中以减小各种网络威胁，它增强了产品资源的安全性。

产品型蜜罐最大的价值就是检测，这是因为产品型蜜罐可以降低误报率和漏报率，这极大

地提高了检测非法入侵行为的成功率。在响应中也会增强整个组织对意外事件的响应能

力，但是蜜罐不能阻止入侵者进入那些易受攻击的系统。

2、研究性蜜罐

研究性蜜罐不会降低系统受到的威胁，但是可以应用从研究型蜜罐教训中得出的结

论，用以提高整个系统的防护、检测和响应能力。然而，研究型蜜罐不会为整个系统带来

直接的安全保护。如果一个组织想要提高自己产品环境的安全性，则应该考虑使用产品型

蜜罐，这是因为产品型蜜罐更容易配置和使用。而对于那些对威胁很感兴趣的组织来说，

如大学、政府和大型的公司，可以使用研究型蜜罐。

精品文档

蜜罐的基本配置

蜜罐有四种不同的配置方式：诱骗服务、弱化系统、强化系统和用户模式服务器。

1、诱骗服务

诱骗服务是指在特定IP服务端口上侦听并像其他应用程序那样对各种网络请求进行

应答的应用程序。它是蜜罐的基本配置。

蜜罐的诱骗服务需要精心配置和设计，首先，想要将服务模拟得足以让攻击者相信是

一件非常困难的事情，另一个问题是诱骗服务只能收集有限的信息。

从理论上讲，诱骗服务本身可以在一定程度上允许攻击者访问系统，但是这样会带来

一定的风险，如果系统记录所有蜜罐本身的日志记录，而攻击者找到了攻击诱骗服务的方

法，蜜罐就陷入失控状态，攻击者可以闯入系统将所有攻击的证据删除，这显然是很糟糕

的。更糟的是蜜罐还有可能成为攻击者攻击其他系统的工具。

2、弱化系统

弱化系统是一个配置有已知攻击弱点的操作系统，这种配置的特点是，恶意攻击者更

容易进入系统，系统可以收集有关攻击的数据。为了确保攻击者没有删除蜜罐的日志记录，

需要运行其他额外记录系统，比如syslogd和入侵检测系统等，实现对日志记录的异地存

储和备份。

弱化系统的优点是蜜罐可以提供的是攻击者试图入侵的实际服务，这种配置方案解决

了诱骗服务需要精心配置的问题，而且它不限制蜜罐收集到的信息量，只要攻击者入侵蜜

罐的某项服务，系统就会连续记录他们的行为并观察他们接下来的所有动作。这样系统可

以获得更多的关于攻击者本身、攻击方法和攻击工具方面的信息。

弱化系统的问题是“维护费用高但收益很少”。如果攻击者对蜜罐使用已知的攻击方

法，弱化系统就会变得毫无意义，因为系统管理员已经有防护这种入侵方面的经验，并且

已经在实际系统中针对该系统做了相应的修补。

3、强化系统

强化系统是对弱化系统配置的改进。强化系统并不配置一个看似有效的系统，蜜罐管

理员为基本操作系统提供所有已知的安