欺骗防御的艺术-wepoker官网

01 前言

随着信息化持续发展、攻防演习的实战化、常态化，威胁诱捕类产品得到了广泛关注。蜜罐（honeypot）技术是一种通过虚假资源诱骗入侵者，从而采集入侵者攻击数据和攻击行为以达到保护真实主机的诱骗技术。在传统的攻防演习中，蜜罐面向攻击行为展示了优秀的诱捕和溯源能力，在现代化安全运营中，也同样扮演着重要角色。因此近年来越来越多的安全厂商将资源投入到该技术领域。

蜜罐系统存在的意义在于混淆攻击者的真实目标，不承担正常业务功能，因此任何与蜜罐的交互行为都可以认为是攻击行为。分析蜜罐的攻击数据包对研究攻击者的攻击行为、提取攻击特征具有重要意义。诱骗攻击者扫描、攻击蜜罐可以有效拖延入侵者对真实目标的攻击进程，为防御者分析和反制争取宝贵时间。

不仅如此，蜜罐系统还可以联动ips、防火墙等其他安全产品，强化企业主动防御能力。除了各种商业蜜罐外，目前有很多种开源蜜罐系统可以提供给安全运营人员使用，本文从各色开源蜜罐系统中，选取了三款有代表性的开源蜜罐系统给大家介绍。

02 蜜罐类型划分

如按照蜜罐和攻击者的交互程度划分，可以将蜜罐分为三种不同类型，分别是低、中、高型交互性蜜罐，目前商业蜜罐产品一般为中高交互型蜜罐，开源蜜罐产品一般为中低交互型蜜罐。

低交互型蜜罐：

一般认为是对系统提供服务的模拟，只能与攻击者做简单交互，能够获取的信息较少，但也相对安全。

中交互型蜜罐：

一般认为是对真实系统的模拟，相当于一个经过修改的操作系统。交互性更高可以捕获更多攻击信息，存在被入侵的风险。

高交互型蜜罐：

极大程度和攻击者进行交互以收集更多攻击信息。一个高交互型蜜罐可以看做一个真实的操作系统。但高交互蜜罐一般价格昂贵，部署和维护难度相对较高。也存在一定的安全风险。

（不同交互级蜜罐比较）

03 开源蜜罐搭建使用测评

3.1 kippo

kippo是一款中等交互的ssh蜜罐工具，带有图形化界面，可以在浏览器中查看登录的ip、攻击操作及统计报表。当攻击者拿到了蜜罐的ssh口令后可以登录到蜜罐服务器执行一些常见的linux命令，kippo支持对文件系统目录的完全伪装：

允许攻击者对文件增删改查；

包含一些高诱惑性的伪装文件，如/etc/passwd、/etc/shadow等。

kippo基于python实现，跨平台性好，支持windows以及各种linux/unix操作系统，安装部署简单。运行成功后，使用ssh的默认弱口令远程登录并执行命令，在蜜罐中可以执行基本的linux的命令如ifconfig、whoami等。

登录过程使用的账号密码都可以记录溯源，如下图:

kippo蜜罐捕获的日志除了本地保存之外，还可以通过源码目录下的dblog/mysql.py导入到mysql数据库中以供分析人员进一步分析。不足之处是添加用户功能过程太复杂，而且非常容易失败。

总结：

kippo是一款上手容易性能优秀的开源蜜罐产品，提供了一个高度伪装的shell；具有发现并监测ssh口令爆破攻击及进一步控制攻击行为的能力；有图形化的攻击统计管理平台，方便监测统计网络环境情况。缺点是命令太少,添加用户过程复杂且容易失败，模拟环境与真实环境相比具有一定差异。

3.2 hfish

hfish是一款比较强大的开源低交互web蜜罐，基于 golang sqllite开发，使用者可以在 win linux 上快速部署一套钓鱼平台，其中包含了多种仿真服务，如：redis、ssh、telnet、web服务等，可以捕获攻击指令。

启动成功后，直接通过浏览器访问 ip：9001 端口即可进行访问，默认登陆账号/密码为admin/admin。界面如下：

登录成功后使用扫描器进行扫描，模拟攻击行为，在攻击详情中会记录所有对蜜罐的访问请求，包括正常请求、攻击行为、暴力破解等。

可以看到，ssh访问模拟攻击登录蜜罐后账号密码都会被记录。

wordpress欺骗服务界面如下图，攻击者访问登录9000端口的web页面进行登录操作会记录到后台中，但这是一个静态页面，是无法登录成功的。

总结：

是一款集中式低中交互蜜罐，简单有效；

支持ssh、ftp、tftp、mysql、redis、telnet、vnc、memcache、elasticsearch、wordpress、oa系统等10多种蜜罐服务，支持用户制作自定义web蜜罐；

支持多平台安装linux x32/x64/arm、windows x32/x64平台，兼容性较好。

3.3 bap

bap 是一款低交互web服务蜜罐，通过制作的web登录页面诱导攻击者攻击，可以记录http基本身份验证凭据以及访问日志。

部署bap蜜罐并访问蜜罐地址，浏览器web显示为如下登录认证页面：

使用抓包工具分析登录过程，登录抓包查看数据包，查看响应发现登录验证直接跳到原来登录界面，不提示任何消息回显：

登录验证记录会记录到pot.log文件：

访问日志记录到access.log文件：

服务器错误日志记录到error.log文件：

总结：

bap可以捕捉到账号和密码以及访问的日志；

部署简单方便，消耗资源较少；

和真实环境有明显差别，容易被识别绕过。

04 总结

传统的基于ip的溯源方法对攻击者的身份信息获取十分有限，很难及时进行有效溯源和反制。蜜罐系统则给了防守方反制的机会，通过蜜罐里预设的反制手段，主动获取攻击者主机或者网络的信息，来更准确的定位攻击者的身份，实现更精准的溯源。

在国内外，许多的开源蜜罐为构建安全网络世界做出了重要贡献，蜜罐不仅展示出了优秀的诱捕和溯源能力，在现代化安全运营中，同样扮演着重要角色，对企业安全防护能力建设有非常重要的实际意义。