加強工控蜜罐反識別的方式有哪些

加強工控蜜罐反識別的方式有：

• 如果蜜罐服務要部署在外網，盡量避免使用云服務廠商提供的服務。

• 如果蜜罐服務部署在企業內網，盡量在蜜罐服務或者仿真程序前面部署一個vxworks系統的設備，并在上面開啟端口轉發服務，或者利用Qmenu模擬運行vxworks操作系統，使攻擊者誤以為掃描到的工控設備使用的是vxworks實時操作系統。

• 定期修改蜜罐內部特征，如conpot蜜罐模板信息，conpot源碼中返回報文的協議特征。同一個ip蜜罐節點，盡量只開放如真實plc設備的端口和服務，如502、80、161等端口，避免開放過多及無效的應用端口，被攻擊者快速識別蜜罐。

• 修改宿主機mac地址，盡可能修改成西門子、GE等工控設備的MAC地址，增加攻擊者識別蜜罐的難度。

• 服務蜜罐盡可能實現協議規約必須的功能碼，如施耐德plc的17、42、90信息獲取功能碼任何一個。

• 盡可能實現高交付服務蜜罐，也可以采用虛實結合部署方式進行部署，增加蜜罐識別難度。