自网络诞生以来，攻击威胁事件层出不穷，而传统Web安全防护技术存在误报、漏报以及防御被动等问题。蜜罐技术的加入可以有效改善传统Web安全防护技术中防御被动的状况，显著提升Web服务整体安全防护能力。本文详细介绍什么是蜜罐技术以及什么是蜜网？



一、什么是蜜罐技术

蜜罐技术（honey pot）是一种主动防御技术，通过部署没有真实业务数据的系统来诱骗攻击者实施攻击，详细地记录攻击者在攻击过程中的许多行为，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据，从而学习攻击者的攻击目的和攻击手段，以此不断提升真实业务系统的安全防护能力。

蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性，吸引那些入侵者，目的在于了解这些攻击行为。另外蜜罐也可以消耗攻击者的时间，基于JSONP等方式来获取攻击者的画像。

蜜罐技术发展至今经历了蜜罐、蜜网和蜜场等阶段。单就蜜罐技术而言，研究内容从如何提升蜜罐的自适应性到如何提升蜜罐的动态性等，这些研究的目的都是为了提升蜜罐整体的诱骗能力。此外，蜜罐也存在安全隐患，如果没有做好隔离，可能成为新的攻击源。

二、使用蜜罐技术的好处

不同类型的蜜罐可以用来识别不同类型的威胁，各种蜜罐定义均基于所解决的威胁类型，它们都在全面有效的网络安全策略中占有一席之地。通过监视进入蜜罐系统的流量，你可以评估：

1、网络犯罪分子来自何处；
2、威胁级别；
3、他们的作案手法；
4、他们感兴趣的数据或应用程序；
5、你的安全措施在阻止网络攻击方面的效果如何。

按交互方式分类，蜜罐可以分为低交互蜜罐和高交互蜜罐，低交互式蜜罐使用的资源较少，收集有关威胁的级别和类型以及威胁来源的基本信息。它们的设置简单快捷，通常只需模拟一些基本的 TCP 和 IP 协议以及网络服务。但是蜜罐中没有任何内容可以让攻击者长时间进行交互，所以也不会获得有关他们的习惯或复杂威胁的深入信息。



三、Web安全防护中的蜜罐技术

在Web安全攻防对抗中，攻击模式一般分为2种：非定向Web攻击和定向Web攻击。

非定向Web攻击的目的往往是利用漏洞获取资源，攻击者通过威胁情报或者漏洞挖掘等方式掌握了较新的漏洞利用方式，基于此编写漏洞批量利用脚本，自动化、无差别地对互联网上的Web应用进行漏洞探测与利用，以此获取更多的“肉鸡”资源用于跳板机、挖矿以及组建僵尸网络等目的。由于这种攻击方式不是针对特定的个体或者组织，所以称之为非定向Web攻击。

而定向Web攻击是针对特定个体或者组织发起的攻击，攻击者具有很明确的目的性。定向Web攻击和非定向Web攻击在实施过程中最大的区别就是攻击者亲自参与的程度不同，在定向Web攻击中，攻击者往往会更多地亲自参与、多次尝试，所以定向Web攻击的攻击手法也往往更加高级。

四、什么是蜜网

蜜网（honey net）是一个网路系统，而并非某台单一主机，这一套网路系统隐藏在防火墙后面，所有进出的资料都受到监控、捕获及控制。蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又称为诱捕网络。蜜网技术实质上还是一类研究型的蜜罐技术，其主要目的仍是收集各种攻击信息。

蜜网与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息进行采集和分析。

蜜网还包括一些真正的应用程序和硬件设备，这样看起来honeynet更像一个一般的网络（实际honeynet在一个服务器上），这样更容易引起入侵者的注意。

当一个攻击者试图侵入蜜网时，入侵检测系统会触发一个报警，一个隐藏的记录器会记录下入侵者一切活动，当入侵者试图从蜜网中转向真实主机时，一个单独的防火墙会随时把主机从Internet上断开。



以上是针对蜜罐技术与蜜网的详细介绍。传统的网络防御技术如防火墙、入侵检测技术等都是一种敌暗我明的被动防御，难以有效应对攻击者随时随地发起的无处不在的攻击和威胁。蜜罐技术的出现改变了这种被动态势，它通过吸引、诱骗攻击者，研究学习攻击者的攻击目的和攻击手段，从而延缓乃至阻止攻击破坏行为的发生，有效保护真实服务资源。