蜜罐是什麼？駭客又為什麼討厭蜜罐？

唯一的區別在於，其實際上獨立於網路的其他部分，並受到嚴密監控。駭客並不知道這一點。因此，他們會被吸引到這些系統，就如同花蜜吸引蜜蜂一樣。而箇中蹊蹺為何？

蜜罐有助於偵測攻擊，使其從更有價值的目標上轉移，並收集有關網路犯罪份子和其策略的資訊。其可以揭露：

• 駭客的 IP 位址和位置。這可能會暴露其位置或身份，除非駭客有使用 VPN 或代理伺服器。
• 駭客用於存取蜜罐的密碼類型。也許他們使用了外洩的密碼，是時候將您的密碼更新為高強度的唯一密碼了。
• 用於入侵蜜罐的技術，這可以揭開系統和網頁伺服器的漏洞。
• 被盜檔案的去向。蜜罐可以儲存具有獨特辨識屬性的資料，（在被盜時）可以協助其所有者找到資料的最終去向。其還有助於辨識不同駭客之間的聯繫。

因此，蜜罐是大型企業和安全研究人員會使用的優質欺騙性工具。聯邦調查局（FBI）對蜜罐的使用也廣為人知。有許多蜜罐的設定大多為免費和開源。某些可以模擬伺服器並協助分析資料，從而省去對大型研究團隊的需求。

蜜罐可以依據使用對象和主要目標進行分類。

研究型蜜罐（Research honeypots）主要使用者為安全研究人員、軍隊和政府。其非常複雜，可提供研究和分析駭客活動及其在蜜罐中的進展所需的重要資訊。這有助於研究人員辨識安全漏洞，並找到新的防範方法。

產品型蜜罐（Production honeypots）的使用者通常為企業。其通常設定在生產系統中，並作為入侵偵測系統（IDS）的一部分，該系統有助於監測惡意活動。其較不複雜，提供的資訊也較少。

蜜罐系統也可分為以下幾種類別：

• 純蜜罐（Pure honeypots），此為完整的生產系統，不需要任何其他軟體。換句話說，其為製作成蜜罐的產品伺服器，並與網路的其他部分相連。其為最可信，但也是風險最大和成本最高昂的。
• 高互動性蜜罐（High-interaction honeypots）是非擬真的作業系統。其會模擬生產系統，通常有大量的服務和資料。因此其需要大量的資源才能運作。此種蜜罐通常在虛擬機器（VM）上運行，因為這可允許多個蜜罐在單一裝置上運行。這也使破壞系統的沙箱化、關閉和還原變得更容易。
• 低互動性蜜罐（Low-interaction honeypots）只模擬最「容易被當成目標」的系統或服務。其需要的資源較少，且大多在虛擬機器上使用。因此，其風險較小，也更容易維護。另一方面，低互動性蜜罐更容易被駭客辨識出來，所以最好是用於偵測透過殭屍網路和蠕蟲傳播的惡意軟體。

研究人員或企業可能會使用多個蜜罐來組成蜜網。他們還可以進一步打造一個集中蜜罐和分析工具的集合——蜂蜜農場。使用蜜網或蜂蜜農場會使誘餌的可信度更高，因為駭客可以像在真實系統中一樣，從一台伺服器跳到另一台。

無論蜜罐聽起來有多好，其都有一些局限性和漏洞。

• 蜜罐只在發生攻擊時收集資料。
• 蜜罐並非很隱密。經驗豐富的駭客可以使用指紋辨識技術來識別出蜜罐。因此，他們會避開蜜罐，並有可能將注意力轉向更有價值的網路或伺服器。
• 蜜罐無法偵測其系統外的攻擊。
• 如果蜜罐沒有正確設定，尤其是純蜜罐，就很有可能會成為其他系統和網路的閘道。
• 就如同任何其他作業系統，蜜罐可能存在技術漏洞，例如，薄弱的防火牆和加密技術，或者可能根本無法辨識出攻擊。蜜罐簡單來說並非完美的系統。