什么是蜜罐

蜜罐是一種主動防御技術，運行在互聯網上的計算機系統，是一個包含漏洞的誘騙系統。它通過模擬一個或多個易受攻擊的主機和服務，來吸引和誘騙那些試圖非法闖入他人計算機系統的人對它實施攻擊。從而可以對攻擊行為捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解它所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

常見蜜罐有以下兩種類型：

• 實系統蜜罐

  實系統蜜罐是最真實的蜜罐，它運行著真實的系統，并且帶著真實可入侵的漏洞，屬于最危險的漏洞，但是它記錄下的入侵信息往往是最真實的。這種蜜罐安裝的系統一般都是最初的，沒有任何SP補丁，或者打了低版本SP補丁，根據管理員需要，也可能補上了一些漏洞，只要值得研究的漏洞還存在即可。然后把蜜罐連接上網絡，根據目前的網絡掃描頻繁度來看，這樣的蜜罐很快就能吸引到目標并接受攻擊，系統運行著的記錄程序會記下入侵者的一舉一動，但同時它也是最危險的，因為入侵者每一個入侵都會引起系統真實的反應，例如被溢出、滲透、奪取權限等。

• 偽系統蜜罐

  大家應該都知道，世界上操作系統不是只有Windows一家而已，在這個領域，還有Linux、Unix、OS2、BeOS等，它們的核心不同，因此會產生的漏洞缺陷也就不盡相同，簡單的說，就是很少有能同時攻擊幾種系統的漏洞代碼，也許你用LSASS溢出漏洞能拿到Windows的權限，但是用同樣的手法去溢出Linux只能徒勞。根據這種特性，就產生了“偽系統蜜罐”，它利用一些工具程序強大的模仿能力，偽造出不屬于自己平臺的“漏洞”，入侵這樣的“漏洞”，只能是在一個程序框架里打轉，即使成功“滲透”，也仍然是程序制造的夢境——系統本來就沒有讓這種漏洞成立的條件，談何“滲透”？實現一個“偽系統”并不困難，Windows平臺下的一些虛擬機程序、Linux自身的腳本功能加上第三方工具就能輕松實現，甚至在Linux/Unix下還能實時由管理員產生一些根本不存在的“漏洞”，讓入侵者自以為得逞的在里面瞎忙。實現跟蹤記錄也很容易，只要在后臺開著相應的記錄程序即可。這種蜜罐的好處在于，它可以最大程度防止被入侵者破壞，也能模擬不存在的漏洞，甚至可以讓一些Windows蠕蟲攻擊Linux——只要你模擬出符合條件的Windows特征！但是它也存在壞處，因為一個聰明的入侵者只要經過幾個回合就會識破偽裝，另者，編寫腳本不是很簡便的事情，除非那個管理員很有耐心或者十分悠閑。

回答所涉及的環境：聯想天逸510S、Windows 10。