蜜罐的設計應具備什么

蜜罐的設計應具備以下特性：

• 邏輯性：蜜罐的搭建需要符合邏輯性。邏輯性包括所處環境符合邏輯，服務組件符合邏輯等。所處環境符合邏輯理解起來很簡單。你所部署的應用應該處于正確的信息系統應該所在的位置中。比如說一個harbor不會被辦公網環境直接訪問到內部的后臺系統正常情況下也不會直接暴露在公網而沒有任何訪問控制。在部署蜜罐時你需要先思考你想要部署的蜜罐類型應該所屬的網絡環境同時也需要思考清楚對應的配套系統，端口，其他蜜罐服務是否符合常規應用類型；

• 真實性：真實性指的是蜜罐的真實性，也即其所模擬服務是否具備真正服務的特性或讓人難以區分。而蜜罐的真實性又依據蜜罐的特性不同。我們簡單的把蜜罐的交互類型分為低交互蜜罐和高交互蜜罐兩種。因此如果有任意來源踩點到這些蜜罐我們就可以把它歸為可以的行為進而排查而不需要你的蜜罐服務去正常的返回每一個接收到的數據包。當然為了取證和溯源，你可以在服務端記錄這些端口蜜罐所接受到的完整數據以便進行分析這是一次誤踩，真實的掃描行為還是漏洞利用。

• 反制性：因此溯源和取證的能力一定也是蜜罐所需要具備的。溯源包括坑包括攻擊者的設備信息，IP地址，地理位置，社交賬號等。而取證則在于記錄攻擊者的行為鏈路和操作歷史。對于攻擊IP的反制主要包括反向的掃描和機器識別來判斷這是一臺已被黑客攻陷的肉雞還是一臺萌新黑客自己的pc電腦。同時對其地理信息做溯源和定位。設備信息其實有很多，通過各種web類型蜜罐可以抓到相關瀏覽器或curl版本。同時構造精確的js探針甚至可以分析出黑客所使用計算機的部分硬件信息。

• 安全性：安全產品的安全性是必要的，蜜罐作為信息系統中的“陷阱”一方面我們希望黑客可以上鉤并被我們察覺，另一方面我們又不希望黑客通過拿下蜜罐節點進行更一步的滲透和惡意行為：提權，逃逸，橫向移動甚至內網漫游—這樣我們的蜜罐就甚至成為了黑客可以進一步入侵的工具。因此 保障蜜罐的安全性也就至關重要了。

回答所涉及的環境：聯想天逸510S、Windows 10。