Skip to content

Web 蜜罐

一、蜜罐概述

1.1 蜜罐的定义

蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

1.2 蜜罐的安全问题

对蜜罐的不当使用,可能会涉及一些法律问题。

  1. 设陷技术

设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。

  1. 隐私问题

蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题。

  1. 责任问题

若蜜罐被入侵者成功破坏了,且被当作肉鸡攻击互联网的设备,会存在法律责任问题。

也就是说,一般会给每个蜜罐打上这样的标语:“使用该系统的任何人同意自己的行为受到监控,并透露给其他人,包括执法人员。”

1.3 蜜罐的分类

一般可以按照交互类型蜜罐作用点对蜜罐的种类进行划分。

1.3.1 按照交互类型进行划分

低交互蜜罐,特点:

  • 低交互式蜜罐使用的资源较少,收集有关威胁的级别和类型以及威胁来源的基本信息。
  • 它们的设置简单快捷,通常只需模拟一些基本的 TCP 和 IP 协议以及网络服务。
  • 但是蜜罐中没有任何内容可以让攻击者长时间交互,您不会获得有关他们的习惯或复杂威胁的深入信息。

高交互蜜罐,特点:

  • 旨在使黑客在蜜罐内花费尽可能多的时间,从而提供有关他们的意图和目标以及他们正在利用的漏洞和所用作案手法的大量信息。
  • 可以将其视为添加了“胶水”的蜜罐 - 可以让攻击者花费更长时间交互的数据库、系统和进程。
  • 这使得研究人员能够跟踪攻击者在系统中的哪些位置查找敏感信息,他们使用哪些工具来提权,或者利用哪些漏洞来破坏系统。

纯蜜罐,特点:

纯蜜罐和真实业务系统功能上一致,但是会在其外部加入监测记录功能。

1.3.2 按照作用点划分

  • 应用层蜜罐
  • 网络蜜罐
  • 主机蜜罐
  • 设备蜜罐

1.4 优劣势

1.4.1 优势

误报少

正常情况下,一个真正的用户是不会主动访问蜜罐的。话句话说,所有被蜜罐抓取到 IP 地址,都是可疑 IP。这一点,与传统的入侵检测系统 (IDS) 形成鲜明对比。

资源消耗少

由于蜜罐处理的流量非常有限,它们也非常节省资源。

观察攻击模式

蜜罐可以提供有关威胁如何进化的可靠情报。

捕获内部威胁

威胁不一定仅来自互联网,也能是内部网络,可以捕获内部威胁。

1.4.2 劣势

指纹固定

一旦蜜罐被“采指纹”,攻击者便可以进行欺骗性攻击以转移注意力,而以真正的生产系统为目标进行攻击。

跳板

一个被攻陷的蜜罐可以用作进一步入侵的踏板。

二、Web 蜜罐

2.1 概念

Web 蜜罐按照作用点归类属于应用层蜜罐

在 Web 安全攻防对抗中,攻击模式一般分为两种:非定向 Web 攻击定向 Web 攻击

非定向 Web 攻击

  • 通常由自动化脚本发起攻击,人为参与低。
  • 应对这种攻击,低交互蜜罐足以应对。
  • 蜜罐部署上,蜜罐部署在公网。

定向 Web 攻击

  • 攻击多由攻击者亲身参与,攻击目标明确。
  • 应对这种攻击,使用高交互蜜罐,足够真实。
  • 蜜罐部署上,部署在组织的防火墙后面。

2.2 开源蜜罐

在 Web 应用开发领域有一种著名的架构模式叫做 MVC,它将 Web 应用系统分为模型层(Model)、控制器层(Controller)和视图层(View)。

2.2.1 视图层蜜罐

视图层蜜罐技术指的是诱骗或监测发生在视图层及以上的技术形态,主要表现为各类具有模拟功能的低交互 Web 蜜罐记录 HTTP 流量类型的纯蜜罐Web 中间件类型蜜罐反向代理类型蜜罐等。

  • Glastopf。低交互 Web 蜜罐,它通过各种 Web 漏洞类型模拟器模拟各类 Web 漏洞。
  • HFish 蜜罐平台。基于 Nginx 中间件开发的插件,可以实现将任意站点转化为蜜罐。

2.2.2 控制器层蜜罐技术

控制器层蜜罐技术的诱骗或监测发生在视图层之下、数据层之上,主要包括各类高交互 Web 蜜罐网站影子系统等。

  • HIHAT 可以将现有的 PHP 应用转化为一个高交互蜜罐。

2.2.3 数据层蜜罐技术

数据层蜜罐技术偏向于数据层面的诱骗和监测,主要包括数据库蜜罐数据蜜饵等。

  • NoSQLpot 是一个 NoSQL 蜜罐框架。

三、思考

开源的蜜罐,一般都意味着它的指纹是固定的、或可以被枚举的,很容易被攻击者识别。

若一个组织自己做一套仿真蜜罐,需要投入人员、开发资源、部署资源等,代价较大。

做好一个优秀的低交互 Web 蜜罐的难点:

  • 指纹问题。为应对非定向 Web 攻击,可否通过一种随机算法,动态生成一个低交互蜜罐。
  • 仿真问题。为应对定向 Web 攻击,蜜罐需要以假乱真,肉眼看起来像是一个真正的业务系统。
  • 部署问题。一个组织需要多套蜜罐系统,尽可能的部署简单、资源能耗少。

四、文献

Released under the MIT License.