反蜜罐技術有哪些

反蜜罐技術有以下四種：

• 主動識別技術：主動識別是指攻擊者通過主動發包，根據目標系統反饋特征進行識別。包括TCP/IP協議棧指紋特征識別、系統行為特征識別、飽和攻擊特征識別和其他。其中前兩種為最為常用的兩種方法。

• 被動識別技術：被動識別主要是攻擊者利用嗅探工具捕捉蜜罐網絡上的數據包來分析判斷蜜罐的存在。如蜜罐的各個部分為了完成功能，就要通過網絡有機的聯系起來，捕捉信息的傳輸、日志信息的備份等都要通過網絡進行。攻擊者可以通過利用嗅探工具捕獲蜜罐網絡上得分這些異常數據來判斷蜜罐的存在。包括IP包特征識別、異常數據包特征識別和其他。

• 配置失真技術：我們已經知道低交互蜜罐是不能夠給敵人提供一個完整的操作系統環境，所以可以通過使用一些復雜的命令和操作，以及一些想不到的輸出解決來檢查是不是處在蜜罐環境中。另外一種情況就是出現了配置失真，也就是說在一臺機器上出現了兩種不同平臺的服務，舉個例子：運行一個Windows的Web服務器同時運行了一個Linux的FTP服務器，這樣的話就出現了配置失真。使用nmap -sV這個方法可以來觀察開啟的服務，如果發現了平臺與服務不匹配的，說明這很有可能就是一個蜜罐。

• 數據包時間戳分析技術：如果我們僅通過查看網絡數據包能很容易的推斷出一個機器的物理屬性，我們就很有可能辨別物理服務器和虛擬蜜罐。事實證明，TCP提供了一些直接反映底層服務器狀態的信息。TCP時間戳選項被網絡堆棧用于確定重傳超時時間。機器中的無歷史中安特定頻率更新時間戳，我們也知道，所有的物理時鐘都有一定時鐘偏差，他們或多或少于實際運行時間。通過打開一個到主機的TCP鏈接，并記錄為每個連接所提供的時間戳，就可以去觀察時間偏差。我們的希望是每個物理系統或者是操作系統顯示出來不同的偏差。如果說一個服務器上運行了多個蜜罐的話，就容易出現每一個蜜罐出現相同的時間偏差，這樣的話蜜罐就完全暴露了。這種基于對硬件檢測的思想也可以在一定程度上去實現檢測是不是蜜罐。

回答所涉及的環境：聯想天逸510S、Windows 10。