什么是蜜罐技术？

在具体开始讲蜜罐技术之前，我们先讲讲为什么会叫“蜜罐”这个名字？

在以前，蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用，最后猎人再将熊一举拿下。

到了今天，蜜罐技术已经成为网络安全中的一种入侵诱饵，目的是引诱黑客前来攻击，并收集黑客相关的证据和信息。

所以蜜罐存在的意义就是——被攻击、被探测、被攻陷…

蜜罐分类：

以下内容翻译自维基百科。Honeypot (computing)

蜜罐主要可以根据部署并根据其参与程度进行分类。

根据部署，蜜罐可能被归类为：

生产蜜罐：
易于使用，仅捕获有限的信息，主要由公司使用。生产蜜罐被组织放置在生产网络内与其他生产服务器一起，以改善其整体安全状态。通常生产蜜罐是低交互蜜罐，更易于部署。与研究蜜罐相比，它们提供的攻击或攻击者信息较少。

研究蜜罐：
是为了收集有关针对不同网络的黑客社区的动机和策略的信息。这些蜜罐不会为特定组织增加直接价值; 相反，它们用于研究组织面临的威胁，并学习如何更好地防范这些威胁。研究蜜罐的部署和维护非常复杂，可以捕获大量信息，主要用于研究、军事或政府组织。

根据设计标准，蜜罐可分为：

纯蜜罐：
拥有完整的生产系统。通过使用已安装在蜜罐的网络链接上的点击来监视攻击者的活动。不需要安装其他软件。即使纯蜜罐是有用的，防御机制的隐秘性也可以通过更加可控的机制来确保。

高交互蜜罐：
模仿托管各种服务的生产系统的活动，因此，攻击者可能会被许多服务浪费时间。通过使用虚拟机，可以在单个物理机器上托管多个蜜罐。因此，即使蜜罐受到损害，它也可以更快地恢复。通常，高交互蜜罐通过难以检测提供更高的安全性，但维护起来很昂贵。如果虚拟机不可用，则必须为每个蜜罐维护一台物理计算机，这可能过于昂贵。高交互蜜罐也称作为蜜网。

低交互蜜罐：
只模拟攻击者经常请求的服务。由于它们消耗的资源相对较少，因此可以在一个物理系统上轻松托管多个虚拟机，虚拟系统的响应时间短，所需的代码更少，从而降低了虚拟系统安全性的复杂性。

蜜罐技术在如今的网络安全行业中越来越常见，去年轰动一时的荷兰警方打击汉莎暗网市场事件，在调查期间警方就曾采用蜜罐技术来追逐汉莎暗网市场的用户。

如果你对蜜罐很感兴趣，不妨可以去试试这个产品——>猎风。

猎风是基于蜜罐技术的多锚点威胁感知系统，通过在攻击者必经之路上构造陷阱，混淆其攻击目标，实时告警黑客和内鬼的内网入侵行为，将其诱骗隔离以延缓攻击，并帮助用户追踪溯源、阻断攻击和安全加固，从而保护企业核心信息资产安全。

转载自：知道创宇云安全的知乎回答