蜜罐 (電腦科學)

蜜罐(英語:honeypot)是一個電腦術語,專指用來偵測或抵禦未經授權操作或者是黑客攻擊的陷阱,因原理類似誘捕昆蟲的蜜罐因而得名。

功能

編輯

蜜罐通常偽裝成看似有利用價值的網絡、資料、電腦系統,並故意設置了bug,用來吸引黑客攻擊。由於蜜罐事實上並未對網絡提供任何有價值的服務,所以任何對蜜罐的嘗試都是可疑的。蜜罐中還可能裝有監控軟件,用以監視黑客入侵後的舉動。

蜜罐在拖延黑客攻擊真正目標上也有一定作用。不過黑客可能發現一個電腦系統是蜜罐,進而提前退出。

而更常見的用法是用來吸引網絡的電腦病毒入侵,從而獲得病毒樣本用於研究或破解的電腦,防毒軟件公司會利用這些電腦來監視或獲得電腦網絡中的病毒樣本。

風險

編輯

蜜罐的目標是在足夠長的一段時間內吸引攻擊者,以獲得如攻擊工具和戰術、技術和程式(TTPs)等進階妥協指標(IoC)。因此,蜜罐需要模擬生產網絡中的基本服務,並授予攻擊者執行對抗活動的自由,以增加其對攻擊者的吸引力。雖然蜜罐是一個受控環境[1],但攻擊者仍有可能將一些蜜罐作為樞紐節點滲透到系統中。[2]

由於大型企業網絡缺乏通訊,蜜罐也可能會吸引合法用戶。例如,運用和監控蜜罐的安全團隊可能會因為缺乏溝通或防止內部威脅,而不能及時向所有用戶披露蜜罐位置。[3][4]

案例

編輯
  • 1994年,米特尼克聖地牙哥超級電腦中心入侵,戲弄在此工作的日裔美籍電腦安全專家下村努,並盜走他電腦的檔案,還使用連線劫持技術盜走他網站的流量。後來下村努設立「蜜罐」讓米特尼克中計引誘他上鈎,用「電子隱形化」技術進行跟蹤,結果1995年米特尼克再次被逮捕。

相關條目

編輯

參考資料

編輯
  1. ^ Honeywall CDROM – The Honeynet Project. [2020-08-07]. (原始內容存檔於2022-10-11). 
  2. ^ Spitzner, Lance. Honeypots Tracking Hackers. Addison-Wesley Professional. 2002. OCLC 1153022947. 
  3. ^ Qassrawi, Mahmoud T.; Zhang, Hongli. Client honeypots: Approaches and challenges. 4th International Conference on New Trends in Information Science and Service Science. May 2010: 19–25 [2022-10-09]. (原始內容存檔於2022-10-14). 
  4. ^ illusive networks: Why Honeypots are Stuck in the Past | NEA | New Enterprise Associates. www.nea.com. [2020-08-07]. (原始內容存檔於2022-10-09).