攻防演練中紅隊如何識別蜜罐

可以通過以下方式去做蜜罐識別：

• BOF 的識別，BOF（Back Officer Friendly）；

• 假代理技術，關注 Honeypot Hunter 軟件；

• Honeyd 的識別，Honeyd 由 Niels Provos 創建，是一個開源程序；

• 利用 Sebek 識別蜜網，第二、三代蜜網都有這個軟件；

• Tarpits 的識別；

• 外聯數據控制識別，一般蜜罐會嚴格限制系統向外的流量；

• 識別 VMware 虛擬機，重點關注 MAC 地址的范圍；

• 用 Nmap 等 Scan 工具，同一個機器同時開放很多 Port 的；

• 因為很多蜜罐都設置在相同或臨近的網段。所以，同一個網段（e.g. ／24），很多機器都開放相同的 Port，回應相似的 Response；

• 去 Shodan／Censys 查。

攻擊者也會嘗試對蜜罐進行識別。比較容易的識別的是低交互的蜜罐，嘗試一些比較復雜且少見的操作能比較容易的識別低交互的蜜罐。相對困難的是高交互蜜罐的識別，因為高交互蜜罐通常以真實系統為基礎來構建，和真實系統比較近似。對這種情況，通常會基于虛擬文件系統和注冊表的信息、內存分配特征、硬件特征、特殊指令等來識別。

回答所涉及的環境：聯想天逸510S、Windows 10。