您的 IP: 未知 · 您的狀態: 受到保護未受保護未知

跳轉到主要內容

蜜罐是什麼?駭客又為什麼討厭蜜罐?

難道您不希望駭客能夠嘗到自己的惡果?試試給他們蜜罐——他們無法抗拒的甜蜜誘餌。但蜜罐是什麼?其運作原理為何?請繼續閱讀以了解更多資訊。

蜜罐是什麼?駭客又為什麼討厭蜜罐?

蜜罐是什麼?

蜜罐的定義

蜜罐(honeypot)是由應用程式和資料組成的電腦或電腦系統,目的是作為誘餌來引誘不法份子。其被設定為看起來像具有可利用漏洞的真實系統。

唯一的區別在於,其實際上獨立於網路的其他部分,並受到嚴密監控。駭客並不知道這一點。因此,他們會被吸引到這些系統,就如同花蜜吸引蜜蜂一樣。而箇中蹊蹺為何?

蜜罐有助於偵測攻擊,使其從更有價值的目標上轉移,並收集有關網路犯罪份子和其策略的資訊。其可以揭露:

  • 駭客的 IP 位址和位置。這可能會暴露其位置或身份,除非駭客有使用 VPN 或代理伺服器
  • 駭客用於存取蜜罐的密碼類型。也許他們使用了外洩的密碼,是時候將您的密碼更新為高強度的唯一密碼了。
  • 用於入侵蜜罐的技術,這可以揭開系統和網頁伺服器的漏洞。
  • 被盜檔案的去向。蜜罐可以儲存具有獨特辨識屬性的資料,(在被盜時)可以協助其所有者找到資料的最終去向。其還有助於辨識不同駭客之間的聯繫。

因此,蜜罐是大型企業和安全研究人員會使用的優質欺騙性工具。聯邦調查局(FBI)對蜜罐的使用也廣為人知。有許多蜜罐的設定大多為免費和開源。某些可以模擬伺服器並協助分析資料,從而省去對大型研究團隊的需求。

蜜罐的類型

蜜罐的類型

蜜罐可以依據使用對象和主要目標進行分類。

研究型蜜罐(Research honeypots)主要使用者為安全研究人員、軍隊和政府。其非常複雜,可提供研究和分析駭客活動及其在蜜罐中的進展所需的重要資訊。這有助於研究人員辨識安全漏洞,並找到新的防範方法。

產品型蜜罐(Production honeypots)的使用者通常為企業。其通常設定在生產系統中,並作為入侵偵測系統(IDS)的一部分,該系統有助於監測惡意活動。其較不複雜,提供的資訊也較少。

蜜罐系統也可分為以下幾種類別:

  • 純蜜罐(Pure honeypots),此為完整的生產系統,不需要任何其他軟體。換句話說,其為製作成蜜罐的產品伺服器,並與網路的其他部分相連。其為最可信,但也是風險最大和成本最高昂的。
  • 高互動性蜜罐(High-interaction honeypots)是非擬真的作業系統。其會模擬生產系統,通常有大量的服務和資料。因此其需要大量的資源才能運作。此種蜜罐通常在虛擬機器(VM)上運行,因為這可允許多個蜜罐在單一裝置上運行。這也使破壞系統的沙箱化、關閉和還原變得更容易。
  • 低互動性蜜罐(Low-interaction honeypots)只模擬最「容易被當成目標」的系統或服務。其需要的資源較少,且大多在虛擬機器上使用。因此,其風險較小,也更容易維護。另一方面,低互動性蜜罐更容易被駭客辨識出來,所以最好是用於偵測透過殭屍網路和蠕蟲傳播的惡意軟體。

研究人員或企業可能會使用多個蜜罐來組成蜜網。他們還可以進一步打造一個集中蜜罐和分析工具的集合——蜂蜜農場。使用蜜網或蜂蜜農場會使誘餌的可信度更高,因為駭客可以像在真實系統中一樣,從一台伺服器跳到另一台。

蜜罐是否萬無一失?

無論蜜罐聽起來有多好,其都有一些局限性和漏洞。

  • 蜜罐只在發生攻擊時收集資料。
  • 蜜罐並非很隱密。經驗豐富的駭客可以使用指紋辨識技術來識別出蜜罐。因此,他們會避開蜜罐,並有可能將注意力轉向更有價值的網路或伺服器。
  • 蜜罐無法偵測其系統外的攻擊。
  • 如果蜜罐沒有正確設定,尤其是純蜜罐,就很有可能會成為其他系統和網路的閘道。
  • 就如同任何其他作業系統,蜜罐可能存在技術漏洞,例如,薄弱的防火牆和加密技術,或者可能根本無法辨識出攻擊。蜜罐簡單來說並非完美的系統。

一鍵啟動線上安全

使用業界領先的 VPN 保持安全