หม้อน้ำผึ้งคืออะไร?

หากคุณเชื่อมต่อคอมพิวเตอร์กับอินเทอร์เน็ตแบบเปิดโดยไม่มีตัวกรองทราฟฟิกขาเข้าใดๆ โดยทั่วไปคอมพิวเตอร์จะเริ่มรับทราฟฟิกการโจมตีภายในไม่กี่นาที นั่นคือขนาดของการโจมตีอัตโนมัติและการสแกนที่เกิดขึ้นอย่างต่อเนื่องบนอินเทอร์เน็ต การรับส่งข้อมูลประเภทนี้ส่วนใหญ่เป็นไปโดยอัตโนมัติทั้งหมด เป็นเพียงบอทที่สแกนอินเทอร์เน็ตและอาจลองใช้เพย์โหลดแบบสุ่มเพื่อดูว่าพวกมันทำอะไรที่น่าสนใจหรือไม่

แน่นอน หากคุณใช้เว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ในรูปแบบอื่น คุณต้องเชื่อมต่อเซิร์ฟเวอร์ของคุณกับอินเทอร์เน็ต คุณอาจใช้บางอย่างเช่น VPN เพื่ออนุญาตการเข้าถึงเฉพาะผู้ใช้ที่ได้รับอนุญาต ทั้งนี้ขึ้นอยู่กับกรณีการใช้งานของคุณ หากคุณต้องการให้เซิร์ฟเวอร์ของคุณเข้าถึงได้แบบสาธารณะ คุณต้องเชื่อมต่อกับอินเทอร์เน็ต ดังนั้นเซิร์ฟเวอร์ของคุณจะเผชิญกับการโจมตี

ดูเหมือนว่าคุณจะต้องยอมรับสิ่งนี้โดยพื้นฐานแล้วสำหรับหลักสูตรนี้ โชคดีที่มีบางสิ่งที่คุณสามารถทำได้

ใช้หม้อน้ำผึ้ง

honeypot เป็นเครื่องมือที่ออกแบบมาเพื่อหลอกล่อผู้โจมตี มันสัญญาว่าจะให้ข้อมูลที่ฉ่ำหรือช่องโหว่ที่อาจนำไปสู่ข้อมูล แต่เป็นเพียงกับดัก หม้อต้มน้ำผึ้งนั้นจงใจตั้งขึ้นเพื่อหลอกล่อผู้โจมตี มีหลายแบบขึ้นอยู่กับว่าคุณต้องการทำอะไร

ฮันนีพอตที่มีปฏิสัมพันธ์สูงเป็นขั้นสูง มันซับซ้อนมากและมีหลายสิ่งหลายอย่างที่จะทำให้ผู้โจมตีไม่ว่าง ส่วนใหญ่ใช้สำหรับการวิจัยด้านความปลอดภัย พวกเขาช่วยให้เจ้าของเห็นว่าผู้โจมตีดำเนินการอย่างไรแบบเรียลไทม์ สิ่งนี้สามารถใช้เพื่อแจ้งการป้องกันในปัจจุบันหรือในอนาคต เป้าหมายของ honeypot ที่มีปฏิสัมพันธ์สูงคือการทำให้ผู้โจมตีครอบครองนานที่สุดและไม่ให้เกมออกไป ด้วยเหตุนี้จึงมีความซับซ้อนในการตั้งค่าและบำรุงรักษา

ฮันนีพอตที่มีปฏิสัมพันธ์ต่ำนั้นเป็นกับดักแบบวางแล้วลืม โดยทั่วไปแล้วจะเรียบง่ายและไม่ได้ออกแบบมาให้ใช้สำหรับการวิจัยหรือการวิเคราะห์เชิงลึก ฮันนี่พอตที่มีปฏิสัมพันธ์ต่ำมีไว้เพื่อตรวจจับว่ามีคนพยายามทำบางอย่างที่พวกเขาไม่ควรทำ และบล็อกพวกเขาทั้งหมด หม้อน้ำผึ้งประเภทนี้ติดตั้งและใช้งานได้ง่าย แต่อาจเสี่ยงที่จะเกิดผลบวกปลอมได้หากไม่ได้วางแผนอย่างรอบคอบ

ตัวอย่างของ honeypot ที่มีปฏิสัมพันธ์ต่ำ

หากคุณใช้งานเว็บไซต์ ฟังก์ชันการทำงานส่วนหนึ่งที่คุณอาจคุ้นเคยคือ robots.txt Robots.txt เป็นไฟล์ข้อความที่คุณสามารถวางไว้ในไดเร็กทอรีรากของเว็บเซิร์ฟเวอร์ ตามมาตรฐานแล้ว บอท โดยเฉพาะอย่างยิ่งโปรแกรมรวบรวมข้อมูลสำหรับเครื่องมือค้นหาจะต้องตรวจสอบไฟล์นี้ คุณสามารถกำหนดค่าด้วยรายการเพจหรือไดเร็กทอรีที่คุณทำหรือไม่ต้องการให้บอทรวบรวมข้อมูลและจัดทำดัชนี บอทที่ถูกต้อง เช่น โปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหาจะเคารพคำแนะนำในไฟล์นี้

โดยทั่วไปรูปแบบจะเป็นไปตามบรรทัด "คุณสามารถดูหน้าเหล่านี้ได้ แต่อย่ารวบรวมข้อมูลอย่างอื่น" บางครั้ง เว็บไซต์มีหลายหน้าที่จะอนุญาต และมีเพียงไม่กี่หน้าที่ต้องการป้องกันการรวบรวมข้อมูล ดังนั้นพวกเขาจึงใช้ทางลัดและพูดว่า "อย่าดูสิ่งนี้ แต่คุณสามารถรวบรวมข้อมูลอย่างอื่นได้" แฮ็กเกอร์และบอทส่วนใหญ่จะมองว่า “อย่ามองที่นี่” แล้วทำตรงกันข้าม ดังนั้น แทนที่จะป้องกันไม่ให้ Google รวบรวมข้อมูลหน้าเข้าสู่ระบบของผู้ดูแลระบบ คุณได้ชี้ให้ผู้โจมตีตรงไปที่หน้าดังกล่าว

เนื่องจากสิ่งนี้เป็นพฤติกรรมที่ทราบกันอยู่แล้ว จึงค่อนข้างง่ายที่จะจัดการ หากคุณตั้งค่า honeypot ด้วยชื่อที่ดูละเอียดอ่อน แล้วกำหนดค่าไฟล์ robots.txt ให้พูดว่า "อย่ามองที่นี่" บอทและแฮ็กเกอร์จำนวนมากจะทำอย่างนั้น มันง่ายมากที่จะบันทึกที่อยู่ IP ทั้งหมดที่โต้ตอบกับ honeypot ในทางใดทางหนึ่งและเพียงแค่บล็อกพวกมันทั้งหมด

หลีกเลี่ยงผลบวกลวง

ในหลายกรณี ฮันนีพอตที่ซ่อนอยู่ประเภทนี้สามารถบล็อกทราฟฟิกโดยอัตโนมัติจากที่อยู่ IP ที่จะโจมตีเพิ่มเติม ต้องใช้ความระมัดระวังเพื่อให้แน่ใจว่าผู้ใช้ที่ถูกต้องของไซต์ไม่เคยไปที่honeypot ระบบอัตโนมัติเช่นนี้ไม่สามารถบอกความแตกต่างระหว่างผู้โจมตีและผู้ใช้ที่ถูกต้องได้ ดังนั้นคุณต้องตรวจสอบให้แน่ใจว่าไม่มีแหล่งข้อมูลที่ถูกต้องเชื่อมโยงไปยัง honeypot เลย

คุณสามารถใส่ความคิดเห็นในไฟล์ robots.txt เพื่อระบุว่ารายการ honeypot เป็น honeypot สิ่งนี้ควรห้ามผู้ใช้ที่ถูกต้องจากการพยายามปรนเปรอความอยากรู้อยากเห็นของพวกเขา นอกจากนี้ยังห้ามไม่ให้แฮ็กเกอร์ตรวจสอบไซต์ของคุณด้วยตนเองและอาจทำให้พวกเขาขุ่นเคืองได้ บอทบางตัวอาจมีระบบเพื่อพยายามตรวจจับสิ่งนี้

อีกวิธีหนึ่งในการลดจำนวนของผลบวกปลอมคือต้องมีปฏิสัมพันธ์เชิงลึกกับฮันนีพอตมากขึ้น แทนที่จะบล็อกใครก็ตามที่โหลดหน้า honeypot คุณสามารถบล็อกใครก็ตามที่โต้ตอบกับหน้านั้นต่อไป อีกครั้ง แนวคิดคือการทำให้มันดูถูกต้องตามกฎหมาย ในขณะที่มันไม่นำไปสู่ความจริง การมี honeypot ของคุณเป็นแบบฟอร์มการเข้าสู่ระบบที่ /admin เป็นความคิดที่ดี ตราบใดที่คุณไม่ได้ลงชื่อเข้าใช้อะไรเลย การมีมันเข้าสู่ระบบที่ดูเหมือนระบบที่ถูกต้องตามกฎหมาย แต่ในความเป็นจริงแล้วลึกเข้าไปในฮันนี่พอทน่าจะเป็นฮันนี่พอทที่มีปฏิสัมพันธ์สูง

บทสรุป

หม้อน้ำผึ้งเป็นกับดัก มันถูกออกแบบให้ดูเหมือนแฮ็กเกอร์อาจใช้ประโยชน์ได้ แต่จริงๆ แล้วมันไม่มีประโยชน์เลย ระบบพื้นฐานเพียงแค่บล็อกที่อยู่ IP ของใครก็ตามที่โต้ตอบกับ honeypot สามารถใช้เทคนิคขั้นสูงเพิ่มเติมเพื่อนำไปสู่การแฮ็กเกอร์ ซึ่งอาจใช้เวลานาน อดีตมักใช้เป็นเครื่องมือรักษาความปลอดภัย อย่างหลังเป็นเครื่องมือวิจัยด้านความปลอดภัยมากกว่าเนื่องจากสามารถให้ข้อมูลเชิงลึกเกี่ยวกับเทคนิคของผู้โจมตี ต้องใช้ความระมัดระวังเพื่อป้องกันไม่ให้ผู้ใช้ที่ถูกต้องโต้ตอบกับ honeypot การกระทำดังกล่าวอาจส่งผลให้เกิดการบล็อกผู้ใช้ที่ถูกต้องหรือทำให้การรวบรวมข้อมูลยุ่งเหยิง ดังนั้น honeypot ไม่ควรเกี่ยวข้องกับการทำงานจริง แต่ควรค้นหาตำแหน่งได้โดยใช้ความพยายามขั้นพื้นฐาน

honeypot ยังสามารถเป็นอุปกรณ์ที่ใช้งานบนเครือข่าย ในสถานการณ์สมมตินี้ จะแยกออกจากการทำงานที่ถูกต้องตามกฎหมายทั้งหมด อีกครั้ง จะได้รับการออกแบบให้ดูเหมือนว่ามีข้อมูลที่น่าสนใจหรือละเอียดอ่อนสำหรับใครบางคนที่สแกนเครือข่าย แต่ไม่ควรพบผู้ใช้ที่ถูกต้องตามกฎหมาย ดังนั้นใครก็ตามที่โต้ตอบกับหม้อน้ำผึ้งก็สมควรได้รับก��รตรวจสอบ