蜜罐的发展历程和目前的主流分类有哪些？

蜜罐技术的发展历程

从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客，并对他们的攻击行为进行分析。

、蜜罐的分类

世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置的，因此，就产生了多种多样的蜜罐……根据蜜罐与攻击者的交互程度，可以分为三类：低交互蜜罐、中交互蜜罐及高交互蜜罐。

1、低交互蜜罐

低交互蜜罐最大的特点是模拟（设计简单且功能有限，安装配置和维护都很容易）。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型。

这种蜜罐没有真实的操作系统，它的价值主要在于检测，也就是对未授权扫描或者未授权连接尝试的检测。他只提供了有限的功能，因此大部分可以用一个程序来模拟。只需将该程序安装在一台主机系统中，配置管理希望提供的服务就可以了，管理员所要做的工作就是维护程序的补丁并监视所有的预警机制。这种蜜罐所提供的功能少，出错少，风险低，同时它能够为我们提供的关于攻击者的信息量也有限，只能捕获已知的攻击行为，并且以一种预定的方式进行响应，这样容易被攻击者识破，不管模拟服务做得多好，技术高明的黑客最终都能检测到他的存在。

2、中交互蜜罐

中交互蜜罐是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息，与低交互蜜罐相比，它的部署和维护更为复杂。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别，攻击者可以得到更多的交互。它们是比真正系统还要诱人的攻击目标，因此必须要以一个安全的方式来部署这种交互。必须开发相应的机制以确保攻击者不会危害其他系统，并且这种增加的功能不会成为攻击者进行攻击的易受攻击环节。攻击者可能会访问到实际操作系统，但他们的能力是受限的，这种类型的蜜罐必须要进行日常维护，以应对新的攻击。由于它具有较大的复杂度，所以出错的风险也相应的增大，另一方面他可以收集到更多攻击者的信息。

3、高交互蜜罐

高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得ROOT权限后，受系统数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被攻击的可能性很高，如果整个高交互蜜罐被攻击，那么它就会成为攻击者下一步攻击的跳板，构建和维护它们是极为耗时的。目前在国内外的主要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。

最为常见的高交互蜜罐往往被放置在一种受控环境中，如防火墙之后。借助于这些访问控制设备来控制攻击者使用该蜜罐启动对外的攻击。这种架构的部署和维护十分的复杂，而且这种类型的蜜罐还要求对防火墙有一个恰当的过滤规则库。同时还要求配合IDS的功能，要求IDS的签名数据库进行更新，且要不停监视蜜罐的活动。它为攻击提供的交互越多出错的地方就越多。一旦进行了正确的实现，高交互度的蜜罐就能够最大程度的洞察攻击者。例如想在一个Linux蜜罐上运行一个FTP服务器，那么你见里一个真正的Linux系统来运行FTP服务。这种解决方案优势是双重的，首先，你能够捕获大量信息。这可以通过给攻击者提供真实的系统与之交互来实现，你能够了解到攻击者的整个攻击行为，从新的工具包到IRC的会话的整个过程。高交互的第二个优势是对攻击者如何攻击不是假设，它们提供一个能够捕获行为的开放的环境，高交互度解决方法将使得我们能学到以外的攻击行为，例如：一个蜜罐在一个非标准的IP协议上捕获密码后门命令。然而，这也增加了蜜罐的风险，因为攻击者能够用这些真实的操作系统来攻击非蜜罐系统。结果，要采用附加技术来组织对非蜜罐系统的攻击。高交互蜜罐虽然优于前两种交互蜜罐，但是开发和维护过于复杂。

最近有网友想了解下网络攻防技术的知识,所以我就整理了相关资料分享给大家,具体内容如下希望大家参考参考!!!

网络攻防技术

《网络攻防技术》是机械工业出版社2009-8-1出版的图书，作者是吴灏。

本书由浅入深地介绍了网络攻击与防御技术。从网络安全所面临的不同威胁入手，详细介绍了信息收集、口令攻击、缓冲区溢出、恶意代码、Web应用程序攻击、嗅探、假消息、拒绝服务攻击等多种攻击技术，并给出一定的实例分析。从网络安全、访问控制机制、防火墙技术、入侵检测、蜜罐技术等方面系统介绍网络安全防御技术，进而分析了内网安全管理的技术和手段。本书可作为高等院校网络信息安全课程的教材或者教学参考书，也可作为网络信息安全专业技术人员、网络安全管理人员、网络使用者的一本实用的网络安全工具书。

要学好网络攻防技术应该要具备什么条件呢

1首先，要提高英文水平，一些代码都有英文含义，不懂英文，不懂啥意思。起码相关计算机英文要明白。

2要学编程才好，那样才能成为高手中的高手，因为所有的软件都是编出来的。

如何学习网络攻防技术呢(黑客)

你可以上新华书店或北方图书城这样的一些大书店去看看计算机专栏，里面有一些教攻防黑客技巧的书籍，你可以买一本通俗易懂的回家练习。例如《黑客攻防练习》

这些书都是教你下一些帮助黑客攻防的软件，所以在这时候一定不要开启杀毒软件，否则会对你进行攻击或防御带来不必要的麻烦。下完软件后要按照书里的内容一步步执行，我刚开始练习的时候就因为不认真而把自己电脑搞坏了(好不容易才修好的)，所以一定要按要求做，我做这个前车之鉴就够了……

说白了，黑客就是靠软件(或自编的程序)来做一些事情，所以你一定要把自己认为有作用的软件练熟，练得得心应手。

有个叫“黑客动畵吧”的(百度可搜到)还携手<网易>推出了大型的免费培训课程,你可以去论坛首页就可以看到地址了,只有信誉非常好的站才有资格与IT业龙头公司合作的。他们论坛里面有免费的培训班也有收费VIP的培训课程。这个就很好了，既安全又无病毒，不要再乱找别的黑客网站了

作为一名黑客，一定要懂得行内的潜规则，那就是：一定要做到不留痕迹的入侵别人电脑;不能删去或复制别人电脑里的隐私文件;不能随意在别人电脑里放病毒。

如何学习网络攻防技术呢(防御)

教材：NISC国家信息化网络安全工程师标准教材两本，包括《网络安全实用技术指南》 和《黑客攻防技术速查》。

《网络安全实用技术指南》内容介绍：首先介绍了网络安全的基础知识。系统的给学员讲解整个的网络安全体系，以物理安全与人员安全为基础，如何编写网络安全策略，保护WEB、DNS服务器详细的介绍了网络攻击的步骤，常见的黑客攻击手段(网络监听、缓冲区溢出、端口扫描等)

《黑客攻防技术速查》内容介绍：紧紧围绕黑客的攻与防展开。在介绍黑客攻击手段的同时，介绍了相应的防范 方法 。从而使学员对于攻防技术有一个系统的了解，能够更好地防范黑客的攻击。主要包括：黑客攻防基础、WindeosNT/2000攻防技术、QQ攻防技术、网页攻防技术、电子邮件攻防技术、木马攻防技术、密码解除攻防、病毒防治、防火墙技术等内容。

在Windows中构建蜜罐的方法如下：

一：安装一个win2k pro，具体的安装方法本文就省略了，打上所有的补丁，只留一个漏洞，就是dvldr蠕虫需要的administrator的空密码。

二：安装norton antivirus enterprise client，升级到最新的病毒库，并启动实时监控。

三：用cmdlog替换cmdexe程序,把comlog101zip解压缩后有五个文件。cmdexe,cmd101pl,COMLOGtxt,MD5txt,READMEtxt,其中cmdlogtxt和readmetxt都是说明文件，md5txt包含这五个文件的md5校验和的值，我们可以使用md5sumexe工具来检测一下他们是否遭受修改。

四：安装日志服务器，我们选择Kiwi的Syslog Daemon 7是因为他够专业并且有很多统计信息和支持产品，一路next并启动服务即可。

摘要：服务器，也称伺服器，是提供计算服务的设备。由于服务器需要响应服务请求，并进行处理，因此一般来说服务器应具备承担服务并且保障服务的能力。服务器上线以后，基本是不间断，724小时运行，否则会影响业务及用户体验。那么如何运营服务器呢？下面来了解服务器运营注意事项吧！一、服务器怎么运营？

检查磁盘使用率，当磁盘使用率超过80%，可以清除一些日志文件；

检查内存使用情况，当内存使用过多时，需要检查是哪个进程占用，是否合理；

检查CPU使用情况，负载大小；当CPU使用过多，负载过大时，需要检查是哪个进程占用，是否合理。

检查服务器网卡接口的数据统计和每秒收发包的个数和流量。

还需要结合服务器的业务，当然，这些可用使用监控软件自动检查，故障报警等，实时掌握服务器的运行情况。

二、服务器运营注意事项

1、提前检查

服务器和网站漏洞检测，对Web漏洞、弱口令、潜在的恶意行为、违法信息等进行定期扫描。

代码的定期检查，安全检查，漏洞检查。

服务器安全加固，安全基线设置，安全基线检查。

数据库执行的命令，添加字段、加索引等，必须是经过测试检查的命令，才能在正式环境运行。

2、数据备份

服务器数据备份，包括网站程序文件备份，数据库文件备份、配置文件备份，如有资源最好每小时备份和异地备份。

建立五重备份机制：常规备份、自动同步、LVM快照、Azure备份、S3备份。

定期检查备份文件是否可用，避免出故障后，备份数据不可用。

重要数据多重加密算法加密处理。

程序文件版本控制，测试，发布，故障回滚。

3、安全监控

nagios监控服务器常规状态CPU负载、内存、磁盘、流量，超过阈值告警。

zabbix或cacti监控服务器常规状态CPU负载、内存、磁盘、流量等状态，可以显示历史曲线，方便排查问题。

监控服务器SSH登录记录、iptables状态、进程状态，有异常记录告警。

监控网站WEB日志（包括nginx日志php日志等），可以采用EKL来收集管理，有异常日志告警。

运维人员都要接收告警邮件和短信，至少所负责的业务告警邮件和短信必须接收，运维经理接收重要业务告警邮件和短信。（除非是专职运维开发）

除服务器内部监控外，最好使用第三方监控，从外部监控业务是否正常（监控URL、端口等），比如：监控宝。

4、故障避免预防

网站WEB增加WAF，避免XSS跨站脚本、SQL注入、网页挂马等漏洞威胁。

程序代码连接数据库、memcache、redis等，可以使用域名（域名HOSTS指定IP），当出问题，有备用的服务器，就可以通过修改DNS或者HOSTS，恢复服务。

建立应急预案机制，定期演练事故场景，估算修复时间。

部署蜜罐系统，防范企业和服务器内网APT攻击。

建立双活集群，包括业务服务的高可用，避免业务服务单点。

服务器集群采用跳板机或堡垒机登录，避免服务器集群每台服务器可以远程连接管理。

操作重要业务升级、迁移、扩容之前，列一下操作步骤，越详细越好，实际操作按步骤操作，操作完做好记录。

5、事中操作

网站WEB增加WAF，发现XSS、SQL注入、网页挂马等攻击，会自动拦截，并记录日志。

检查服务器数据备份是否可用。

在处理需求和故障时，执行风险命令（比如rm、restart、reboot等）需再三确认，执行命令前，检查所在服务器，所在服务器路径，再执行！

不要疲劳驾驶，喝酒不上机，上机不喝酒，尤其别动数据库，避免在不清醒的状态下，在服务器上执行了错误命令，导致数据丢失或业务故障。

在处理事故时，一定要考虑处理措施是否会引发连锁故障，重要操作三思而行。

6、事后检查分析

实现网络安全可视化管理，可以看到每天有那些异常IP和异常URL请求，服务器集群开放端口列表等。能对全网进行安全策略集中管理。统一日志收集和分析。

备份及篡改恢复功能，程序文件、、数据文件、配置文件的备份，故障回滚机制。

对攻击日志进行深度分析，展现攻击路径、攻击源，协助管理员溯源。

践行DevOps的无指责文化，尤其是在做事故分析时。事故分析重在定位原因，制定改进措施。

linux 是最为开放的一群系统，虽然不一定是最稳定的，最人性化的，但一定是功能最为全面的。所以用了 linux 之后基本上一个计算机能有什么功能，应该是怎么样的，自己有了数，回到 windows 或者 mac 下面就知道电脑该往那方向配置了。

1 是有一个好看好用的 shell。

linux 上先用 bash，然后 zsh，然后 oh-my-zsh，第一次用的时候惊为天人，然后在宿舍里大喊 oh my zsh。后来用了 fish 和 oh-my-fish 就停下来了，没换了。

回 windows 后，开始用 babun，一个配置好的 cygwin shell，然后渐渐觉得很多问题。主要是 cygwin 的兼容性不好，于是慢慢入了 powershell 的深坑。因为 powershell 没有很好的配置，于是我就手动一点一点配的。现在基本满意。就是 tab expansion 总觉得不开心，装了插件也不满意，于是准备什么时候看看开源项目，看看 document，自己重写一个。

2 package manager

linux 的 apt-get 太好用了。

换到 win 之后，翻箱倒柜找到一个 chocolatey。只能凑活用。准备有时间也改改。（主要是加上打了没安装应用的名字之后自动提示安装这样的功能。。。）

3 vim

这个好像和 linux 没有太大关系，但是确实是用 linux 之后才听说的。天天混在atom和sublime text 或者 vs，pycharmidea 的蜜罐里，才没人会去想学 vim 。（奈何 linux 下的编辑器支持都不好。。。）

主要一件事情，像windows用着的时候很大程度上沉浸在了图形界面的蜜罐里面，就像用 word一样，空格排版和换行排版能基本达到排版效果，看着也漂亮，谁愿意去学各种各样排版的东西。

但是用完 latex 以后，被迫去接受各种各样排版的东西，因为空格排版丑死了。然后慢慢就了解了，这样回到了 word 只要熟悉一下word 的相关替代品就好了，知道想要什么样的排版了。

commandline 也是一样，图形界面那么方便，平时也就多点两下的事情。至少不会自讨苦吃去学command line。

但是用了linux之后，一是console 真是太强大了，二是没有那么好的图形软件的支持，三是社区里面全是command line 的帮助，很少见到点这个，再点那个，然后慢慢熟悉 command line，然后再做一些简单的 automation，对回 win的帮助太大了。