蜜罐系统理解与搭建

蜜罐的概念理解

蜜罐的定义

蜜罐 技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务 或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获 和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的优势

1. 误报少，告警准确
   1. 蜜罐作为正常业务的 "影子" 混淆在网络中，正常情况下不应被触碰，每次触碰都可以视为威胁行为。例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎不存在正常请求，即使有也是探测行为。
2. 检测深入，信息丰富
   1. 不同于其它检测型安全产品，蜜罐可以模拟业务服务甚至对攻击的响应，完整获取整个交互的所有内容，最大深度的获得攻击者探测行为之后的N个步骤，可检测点更多，信息量更大。
3. 主动防御
   1. 潜伏在互联网角落中的攻击者发起一次攻击探测，防守方业务不存在安全漏洞，IDS告警后事情就不了了之了。
   2. 应用蜜罐型产品后，转换为主动防御思路： 蜜罐响应了攻击探测，诱骗攻击者认为存在漏洞，进而发送了更多指令，包括从远端地址下载木马程序，而这一切不仅被完整记录下来，还可以转化为威胁情报供给传统检测设备，用于在未来的某个时刻，准确检测主机失陷。
4. 环境依赖少，拓展视野
   1. 由于是融入型安全产品，蜜罐不需要改动现有网络结构，并且很多蜜罐是软件形态，对各种虚拟和云环境非常友好，部署成本低。 蜜罐可以广泛部署于云端和接入交换机下游末梢网络中，作为轻量级探针，将告警汇聚到态势感知或传统检测设备中分析和展示。

蜜罐的搭建

反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台

下载对应系统的版本即可。

解压后执行install.bat。

如果在服务器搭建，要注意可执行文件bat，exe等属性查看，可能被锁，防火墙杀毒，最好设置信任区

运行service.exe 会弹出账号密码

在浏览器访问即可

登录后的界面：

模块很多，大屏显示较为清晰。。

这里使用本地进行测试，打开蜜罐的OA，wordpress蜜罐，网址上输入即可