01 前言

隨著信息化持續(xù)發(fā)展、攻防演習(xí)的實(shí)戰(zhàn)化、常態(tài)化，威脅誘捕類產(chǎn)品得到了廣泛關(guān)注。蜜罐（honeypot）技術(shù)是一種通過虛假資源誘騙入侵者，從而采集入侵者攻擊數(shù)據(jù)和攻擊行為以達(dá)到保護(hù)真實(shí)主機(jī)的誘騙技術(shù)。在傳統(tǒng)的攻防演習(xí)中，蜜罐面向攻擊行為展示了優(yōu)秀的誘捕和溯源能力，在現(xiàn)代化安全運(yùn)營(yíng)中，也同樣扮演著重要角色。因此近年來(lái)越來(lái)越多的安全廠商將資源投入到該技術(shù)領(lǐng)域。

蜜罐系統(tǒng)存在的意義在于混淆攻擊者的真實(shí)目標(biāo)，不承擔(dān)正常業(yè)務(wù)功能，因此任何與蜜罐的交互行為都可以認(rèn)為是攻擊行為。分析蜜罐的攻擊數(shù)據(jù)包對(duì)研究攻擊者的攻擊行為、提取攻擊特征具有重要意義。誘騙攻擊者掃描、攻擊蜜罐可以有效拖延入侵者對(duì)真實(shí)目標(biāo)的攻擊進(jìn)程，為防御者分析和反制爭(zhēng)取寶貴時(shí)間。

不僅如此，蜜罐系統(tǒng)還可以聯(lián)動(dòng)IPS、防火墻等其他安全產(chǎn)品，強(qiáng)化企業(yè)主動(dòng)防御能力。除了各種商業(yè)蜜罐外，目前有很多種開源蜜罐系統(tǒng)可以提供給安全運(yùn)營(yíng)人員使用，本文從各色開源蜜罐系統(tǒng)中，選取了三款有代表性的開源蜜罐系統(tǒng)給大家介紹。

02 蜜罐類型劃分

如按照蜜罐和攻擊者的交互程度劃分，可以將蜜罐分為三種不同類型，分別是低、中、高型交互性蜜罐，目前商業(yè)蜜罐產(chǎn)品一般為中高交互型蜜罐，開源蜜罐產(chǎn)品一般為中低交互型蜜罐。

低交互型蜜罐：

一般認(rèn)為是對(duì)系統(tǒng)提供服務(wù)的模擬，只能與攻擊者做簡(jiǎn)單交互，能夠獲取的信息較少，但也相對(duì)安全。

中交互型蜜罐：

一般認(rèn)為是對(duì)真實(shí)系統(tǒng)的模擬，相當(dāng)于一個(gè)經(jīng)過修改的操作系統(tǒng)。交互性更高可以捕獲更多攻擊信息，存在被入侵的風(fēng)險(xiǎn)。

高交互型蜜罐：

極大程度和攻擊者進(jìn)行交互以收集更多攻擊信息。一個(gè)高交互型蜜罐可以看做一個(gè)真實(shí)的操作系統(tǒng)。但高交互蜜罐一般價(jià)格昂貴，部署和維護(hù)難度相對(duì)較高。也存在一定的安全風(fēng)險(xiǎn)。

（不同交互級(jí)蜜罐比較）

03 開源蜜罐搭建使用測(cè)評(píng)

3.1 Kippo

Kippo是一款中等交互的SSH蜜罐工具，帶有圖形化界面，可以在瀏覽器中查看登錄的IP、攻擊操作及統(tǒng)計(jì)報(bào)表。當(dāng)攻擊者拿到了蜜罐的SSH口令后可以登錄到蜜罐服務(wù)器執(zhí)行一些常見的Linux命令，Kippo支持對(duì)文件系統(tǒng)目錄的完全偽裝：

允許攻擊者對(duì)文件增刪改查；

包含一些高誘惑性的偽裝文件，如/etc/passwd、/etc/shadow等。

Kippo基于Python實(shí)現(xiàn)，跨平臺(tái)性好，支持Windows以及各種Linux/Unix操作系統(tǒng)，安裝部署簡(jiǎn)單。運(yùn)行成功后，使用ssh的默認(rèn)弱口令遠(yuǎn)程登錄并執(zhí)行命令，在蜜罐中可以執(zhí)行基本的Linux的命令如ifconfig、whoami等。

登錄過程使用的賬號(hào)密碼都可以記錄溯源，如下圖:

Kippo蜜罐捕獲的日志除了本地保存之外，還可以通過源碼目錄下的dblog/mysql.py導(dǎo)入到MySQL數(shù)據(jù)庫(kù)中以供分析人員進(jìn)一步分析。不足之處是添加用戶功能過程太復(fù)雜，而且非常容易失敗。

總結(jié)：

Kippo是一款上手容易性能優(yōu)秀的開源蜜罐產(chǎn)品，提供了一個(gè)高度偽裝的shell；具有發(fā)現(xiàn)并監(jiān)測(cè)SSH口令爆破攻擊及進(jìn)一步控制攻擊行為的能力；有圖形化的攻擊統(tǒng)計(jì)管理平臺(tái)，方便監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)環(huán)境情況。缺點(diǎn)是命令太少,添加用戶過程復(fù)雜且容易失敗，模擬環(huán)境與真實(shí)環(huán)境相比具有一定差異。

3.2 HFish

Hfish是一款比較強(qiáng)大的開源低交互Web蜜罐，基于 Golang + SqlLite開發(fā)，使用者可以在 Win + Linux 上快速部署一套釣魚平臺(tái)，其中包含了多種仿真服務(wù)，如：redis、ssh、telnet、web服務(wù)等，可以捕獲攻擊指令。

啟動(dòng)成功后，直接通過瀏覽器訪問 IP：9001 端口即可進(jìn)行訪問，默認(rèn)登陸賬號(hào)/密碼為admin/admin。界面如下：

登錄成功后使用掃描器進(jìn)行掃描，模擬攻擊行為，在攻擊詳情中會(huì)記錄所有對(duì)蜜罐的訪問請(qǐng)求，包括正常請(qǐng)求、攻擊行為、暴力破解等。

可以看到，ssh訪問模擬攻擊登錄蜜罐后賬號(hào)密碼都會(huì)被記錄。

wordpress欺騙服務(wù)界面如下圖，攻擊者訪問登錄9000端口的web頁(yè)面進(jìn)行登錄操作會(huì)記錄到后臺(tái)中，但這是一個(gè)靜態(tài)頁(yè)面，是無(wú)法登錄成功的。

總結(jié)：

是一款集中式低中交互蜜罐，簡(jiǎn)單有效；

支持SSH、FTP、TFTP、MySQL、Redis、Telnet、VNC、Memcache、Elasticsearch、Wordpress、OA系統(tǒng)等10多種蜜罐服務(wù)，支持用戶制作自定義Web蜜罐；

支持多平臺(tái)安裝Linux x32/x64/ARM、Windows x32/x64平臺(tái)，兼容性較好。

3.3 bap

bap 是一款低交互web服務(wù)蜜罐，通過制作的web登錄頁(yè)面誘導(dǎo)攻擊者攻擊，可以記錄HTTP基本身份驗(yàn)證憑據(jù)以及訪問日志。

部署bap蜜罐并訪問蜜罐地址，瀏覽器web顯示為如下登錄認(rèn)證頁(yè)面：

使用抓包工具分析登錄過程，登錄抓包查看數(shù)據(jù)包，查看響應(yīng)發(fā)現(xiàn)登錄驗(yàn)證直接跳到原來(lái)登錄界面，不提示任何消息回顯：

登錄驗(yàn)證記錄會(huì)記錄到pot.log文件：

訪問日志記錄到access.log文件：

服務(wù)器錯(cuò)誤日志記錄到error.log文件：

總結(jié)：

bap可以捕捉到賬號(hào)和密碼以及訪問的日志；

部署簡(jiǎn)單方便，消耗資源較少；

和真實(shí)環(huán)境有明顯差別，容易被識(shí)別繞過。

04 總結(jié)

傳統(tǒng)的基于IP的溯源方法對(duì)攻擊者的身份信息獲取十分有限，很難及時(shí)進(jìn)行有效溯源和反制。蜜罐系統(tǒng)則給了防守方反制的機(jī)會(huì)，通過蜜罐里預(yù)設(shè)的反制手段，主動(dòng)獲取攻擊者主機(jī)或者網(wǎng)絡(luò)的信息，來(lái)更準(zhǔn)確的定位攻擊者的身份，實(shí)現(xiàn)更精準(zhǔn)的溯源。

在國(guó)內(nèi)外，許多的開源蜜罐為構(gòu)建安全網(wǎng)絡(luò)世界做出了重要貢獻(xiàn)，蜜罐不僅展示出了優(yōu)秀的誘捕和溯源能力，在現(xiàn)代化安全運(yùn)營(yíng)中，同樣扮演著重要角色，對(duì)企業(yè)安全防護(hù)能力建設(shè)有非常重要的實(shí)際意義。