蜜罐 (电脑科学)

蜜罐(英语:honeypot)是一个电脑术语,专指用来侦测或抵御未经授权操作或者是骇客攻击的陷阱,因原理类似诱捕昆虫的蜜罐因而得名。

功能

编辑

蜜罐通常伪装成看似有利用价值的网络、资料、电脑系统,并故意设置了bug,用来吸引骇客攻击。由于蜜罐事实上并未对网络提供任何有价值的服务,所以任何对蜜罐的尝试都是可疑的。蜜罐中还可能装有监控软件,用以监视骇客入侵后的举动。

蜜罐在拖延骇客攻击真正目标上也有一定作用。不过骇客可能发现一个电脑系统是蜜罐,进而提前退出。

而更常见的用法是用来吸引网络的电脑病毒入侵,从而获得病毒样本用于研究或破解的电脑,杀毒软件公司会利用这些电脑来监视或获得电脑网络中的病毒样本。

风险

编辑

蜜罐的目标是在足够长的一段时间内吸引攻击者,以获得如攻击工具和战术、技术和程序(TTPs)等高级妥协指标(IoC)。因此,蜜罐需要模拟生产网络中的基本服务,并授予攻击者执行对抗活动的自由,以增加其对攻击者的吸引力。虽然蜜罐是一个受控环境[1],但攻击者仍有可能将一些蜜罐作为枢纽节点渗透到系统中。[2]

由于大型企业网络缺乏通信,蜜罐也可能会吸引合法用户。例如,运用和监控蜜罐的安全团队可能会因为缺乏沟通或防止内部威胁,而不能及时向所有用户披露蜜罐位置。[3][4]

案例

编辑
  • 1994年,米特尼克圣地亚哥超级计算机中心入侵,戏弄在此工作的日裔美籍电脑安全专家下村努,并盗走他电脑的文件,还使用会话劫持技术盗走他网站的流量。后来下村努设立“蜜罐”让米特尼克中计引诱他上钩,用“电子隐形化”技术进行跟踪,结果1995年米特尼克再次被逮捕。

相关条目

编辑

参考资料

编辑
  1. ^ Honeywall CDROM – The Honeynet Project. [2020-08-07]. (原始内容存档于2022-10-11). 
  2. ^ Spitzner, Lance. Honeypots Tracking Hackers. Addison-Wesley Professional. 2002. OCLC 1153022947. 
  3. ^ Qassrawi, Mahmoud T.; Zhang, Hongli. Client honeypots: Approaches and challenges. 4th International Conference on New Trends in Information Science and Service Science. May 2010: 19–25 [2022-10-09]. (原始内容存档于2022-10-14). 
  4. ^ illusive networks: Why Honeypots are Stuck in the Past | NEA | New Enterprise Associates. www.nea.com. [2020-08-07]. (原始内容存档于2022-10-09).