蜜罐初识

蜜罐：一种用于引诱黑客攻击并捕获和记录攻击者攻击信息的安全技术/思想。

一般有两种分类：低交互蜜罐和高交互蜜罐，产品型蜜罐和研究性蜜罐

低交互蜜罐：一般模拟特定的服务（协议栈、os等）和网络拓扑、会对攻击者的攻击进行特定的交互、能捕捉和记录到特定的信息、但信息量较小。

中交互蜜罐：一般模拟真实的操作系统的各种行为，提供更多的交互性，也可以从攻击者处获取更多的交互信息

高交互蜜罐：使用真实的操作系统和真实的服务作为蜜罐，交互性最强，能捕捉到更全面的攻击信息，但成本高也比较难把握，一旦被攻击者攻破获取系统的 root 权限，会成为跳板，危害到内网的安全。物理机或虚拟机

配置模式：

1. 诱骗服务：在特定 IP 服务端口侦听并像应用服务程序那样对特定的网络请求进行应答的应用程序。

2. 弱化系统：在外部可访问的网络部署一台没有打补丁的系统，等待入侵者入侵并做记录，该类型意义不大，攻击行为是已知的，且高维护低收益。

3. 强化系统：和弱化系统一样提供一个真实的操作系统，不过该操作系统是安全的。在攻击者入侵时记录入侵行为，能捕获到比较全面的入侵信息。对管理员的技术要求较高。

4. 用户模式服务器：实际上是一个用户进程，它运行在主机上，并模拟成一个真实服务器。当外部用户向该模拟的服务器发送消息时，主机会把该消息转发到该用户进程上。具有管理员好管控的有点，缺点是不适用与不同操作系统。

需要的技术功能：

1. 对数据的控制机制，防止蜜罐机器被黑客反利用。

2. 数据的捕获机制，捕获黑客入侵的行为数据，包括网络行为数据（如网络连接）及系统行为数据（如输入的各种命令、进程）

3. 数据的分析机制，能理解捕获的黑客入侵数据。

蜜罐需要关注的三个问题：

1. 设陷技术，是否会被轻易识别和破坏；2. 隐私，利用蜜罐收集隐私信息；3. 蜜罐被利用的责任