蜜墙

蜜墙主要任务:

• 数据捕捉：蜜网内的所有活动和进出蜜网的信息，能够在攻击者不知道被监视的情况下被捕获。
  通过Sebek工具进行监视，将监视信息发到Sebek服务器--通常是蜜墙--存储数据并允许数据分析。
• 数据控制：控制进出蜜网的可疑流量，进一步地，该机制必须确保一旦蜜网中的蜜罐被攻陷，所有的恶意活动必须限制在蜜网内。
  1.通过限制连接，例如允许每小时有20个TCP连接、20个UDP数据包交换、50个ICMP数据包和20个其他连接
  2.某些特殊攻击限制连接没效果，要使用入侵检测系统(如snort)，重写可疑数据包中的内容使之无效，大多入侵者在一段时间内无法检测到蜜墙的存在，入侵者发现可以攻击，会继续尝试不同形式的攻击，使我们能够更大程度和更长时间地观察他们。
• 数据分析：帮助你作为蜜网操作员简化捕获数据分析，以及帮助计算机和网络取证。