什麼是蜜罐？

如果您將一台計算機連接到開放的互聯網而沒有任何類型的入站流量過濾器，它通常會在幾分鐘內開始接收攻擊流量。這就是 Internet 上不斷發生的自動攻擊和掃描的規模。絕大多數此類流量都是完全自動化的。它只是機器人掃描互聯網，可能會嘗試一些隨機有效負載，看看它們是否做了什麼有趣的事情。

當然，如果您運行 Web 服務器或任何其他形式的服務器，您需要將您的服務器連接到 Internet。根據您的用例，您也許可以使用 VPN 之類的東西來只允許授權用戶訪問。但是，如果您希望您的服務器可公開訪問，則需要連接到 Internet。因此，您的服務器將面臨攻擊。

看起來你基本上必須接受這個作為課程的標準。值得慶幸的是，您可以做一些事情。

實施蜜罐

蜜罐是一種旨在引誘攻擊者的工具。它承諾可能會導致信息的多汁信息或漏洞，但只是一個陷阱。蜜罐是特意設置來引誘攻擊者進入的。根據您想要執行的操作，有幾種不同的類型。

提出了一種高交互蜜罐。它非常複雜，並提供了很多讓攻擊者忙碌的東西。這些主要用於安全研究。它們允許所有者實時查看攻擊者的行為。這可用於通知當前甚至未來的防禦。高交互蜜罐的目標是讓攻擊者盡可能長時間地忙碌並且不洩露遊戲。為此，它們的設置和維護都很複雜。

低交互蜜罐基本上是一個放置即忘的陷阱。它們通常很簡單，並非設計用於深入研究或分析。相反，低交互蜜罐旨在檢測到有人正在嘗試做他們不應該做的事情，然後完全阻止他們。這種蜜罐易於設置和實施，但如果計劃不周，則更容易出現誤報。

一個低交互蜜罐的例子

如果您經營網站，您可能熟悉的一項功能是 robots.txt。Robots.txt 是一個文本文件，您可以將其放在網絡服務器的根目錄中。作為標準，機器人，尤其是搜索引擎的爬蟲知道檢查這個文件。您可以使用您希望或不希望機器人抓取和索引的頁面或目錄列表對其進行配置。合法的機器人程序（例如搜索引擎爬蟲）將遵守此文件中的說明。

格式通常遵循“您可以查看這些頁面，但不要抓取任何其他內容”的思路。但有時，網站有很多頁面允許抓取，但只有少數要阻止抓取。因此他們走捷徑說“別看這個，但你可以爬其他任何東西”。大多數黑客和機器人會看到“不要看這裡”然後做完全相反的事情。因此，您沒有阻止您的管理員登錄頁面被 Google 抓取，而是直接將攻擊者指向了它。

鑑於這是已知行為，因此很容易操縱。如果你用一個看起來很敏感的名字設置一個蜜罐，然後配置你的 robots.txt 文件說“不要看這裡”，許多機器人和黑客都會這樣做。然後很簡單地記錄所有以任何方式與蜜罐交互的 IP 地址並阻止它們。

避免誤報

在很多情況下，這種隱藏的蜜罐可以自動阻止來自可能發出進一步攻擊的 IP 地址的流量。必須注意確保網站的合法用戶永遠不會訪問蜜罐。像這樣的自動化系統無法區分攻擊者和合法用戶。因此，您需要確保根本沒有合法資源鏈接到蜜罐。

您可以在 robots.txt 文件中包含一條註釋，表明蜜罐條目是一個蜜罐。這應該會阻止合法用戶試圖滿足他們的好奇心。它還會阻止手動探測您的網站並可能激怒他們的黑客。一些機器人也可能有適當的系統來嘗試檢測這類事情。

減少誤報數量的另一種方法是要求與蜜罐進行更深入的交互。您可以阻止任何與它進一步交互的人，而不是阻止任何加載蜜罐頁面的人。同樣，這個想法是讓它看起來合法，但實際上毫無用處。讓你的蜜罐成為 /admin 的登錄表單是一個好主意，只要它實際上不能讓你登錄任何東西。然後讓它登錄到一個看起來像合法系統但實際上更深入蜜罐的系統將更像是一個高交互蜜罐。

結論

蜜罐是一個陷阱。它的設計看起來像是對黑客有用，但實際上毫無用處。基本系統只會阻止與蜜罐交互的任何人的 IP 地址。可以使用更先進的技術來引導黑客，可能會持續很長一段時間。前者通常用作安全工具。後者更像是一種安全研究工具，因為它可以深入了解攻擊者的技術。必須小心防止合法用戶與蜜罐交互。此類行為要么導致合法用戶被屏蔽，要么使數據收集變得混亂。因此，蜜罐不應該與實際功能相關，但應該可以通過一些基本的努力找到。

蜜罐也可以是部署在網絡上的設備。在這種情況下，它獨立於所有合法功能。同樣，對於掃描網絡的人來說，它的設計看起來像是有有趣或敏感的數據，但任何合法用戶都不應該遇到它。因此，任何與蜜罐交互的人都值得審查。