01 前言

随着信息化一连生长、攻防演习的实战化、常态化，，，，，，威胁诱捕类产品获得了普遍关注。。。。。。蜜罐（honeypot）手艺是一种通过虚伪资源诱骗入侵者，，，，，，从而收罗入侵者攻击数据和攻击行为以抵达；；；；；ふ媸抵骰挠掌忠铡。。。。。在古板的攻防演习中，，，，，，蜜罐面向攻击行为展示了优异的诱捕和溯源能力，，，，，，在现代化清静运营中，，，，，，也同样饰演着主要角色。。。。。。因此近年来越来越多的清静厂商将资源投入到该手艺领域。。。。。。

蜜罐系统保存的意义在于混淆攻击者的真实目的，，，，，，不肩负正常营业功效，，，，，，因此任何与蜜罐的交互行为都可以以为是攻击行为。。。。。。剖析蜜罐的攻击数据包对研究攻击者的攻击行为、提取攻击特征具有主要意义。。。。。。诱骗攻击者扫描、攻击蜜罐可以有用拖延入侵者对真实目的的攻击历程，，，，，，为防御者剖析和反制争取名贵时间。。。。。。

不但云云，，，，，，蜜罐系统还可以联动IPS、防火墙等其他清静产品，，，，，，强化企业自动防御能力。。。。。。除了种种商业蜜罐外，，，，，，现在有许多种开源蜜罐系统可以提供应清静运营职员使用，，，，，，本文从各色开源蜜罐系统中，，，，，，选取了三款有代表性的开源蜜罐系统给各人先容。。。。。。

02 蜜罐类型划分

如凭证蜜罐和攻击者的交互水平划分，，，，，，可以将蜜罐分为三种差别类型，，，，，，划分是低、中、高型交互性蜜罐，，，，，，现在商业蜜罐产品一样平常为中高交互型蜜罐，，，，，，开源蜜罐产品一样平常为中低交互型蜜罐。。。。。。

低交互型蜜罐：

一样平常以为是对系统提供服务的模拟，，，，，，只能与攻击者做简朴交互，，，，，，能够获取的信息较少，，，，，，但也相对清静。。。。。。

中交互型蜜罐：

一样平常以为是对真实系统的模拟，，，，，，相当于一个经由修改的操作系统。。。。。。交互性更高可以捕获更多攻击信息，，，，，，保存被入侵的危害。。。。。。

高交互型蜜罐：

极洪流平和攻击者举行交互以网络更多攻击信息。。。。。。一个高交互型蜜罐可以看做一个真实的操作系统。。。。。。但高交互蜜罐一样平常价钱腾贵，，，，，，安排和维护难度相对较高。。。。。。也保存一定的清静危害。。。。。。

（差别交互级蜜罐较量）

03 开源蜜罐搭建使用测评

3.1 Kippo

Kippo是一款中等交互的SSH蜜罐工具，，，，，，带有图形化界面，，，，，，可以在浏览器中审查登录的IP、攻击操作及统计报表。。。。。。当攻击者拿到了蜜罐的SSH口令后可以登录到蜜罐服务器执行一些常见的Linux下令，，，，，，Kippo支持对文件系统目录的完全伪装：

允许攻击者对文件增删改查；；；；；

包括一些高诱惑性的伪装文件，，，，，，如/etc/passwd、/etc/shadow等。。。。。。

Kippo基于Python实现，，，，，，跨平台性好，，，，，，支持Windows以及种种Linux/Unix操作系统，，，，，，装置安排简朴。。。。。。运行乐成后，，，，，，使用ssh的默认弱口令远程登录并执行下令，，，，，，在蜜罐中可以执行基本的Linux的下令如ifconfig、whoami等。。。。。。

登录历程使用的账号密码都可以纪录溯源，，，，，，如下图:

Kippo蜜罐捕获的日志除了外地生涯之外，，，，，，还可以通过源码目录下的dblog/mysql.py导入到MySQL数据库中以供剖析职员进一步剖析。。。。。。缺乏之处是添加用户功效历程太重大，，，，，，并且很是容易失败。。。。。。

总结：

Kippo是一款上手容易性能优异的开源蜜罐产品，，，，，，提供了一个高度伪装的shell；；；；；具有发明并监测SSH口令爆破攻击及进一步控制攻击行为的能力；；；；；有图形化的攻击统计治理平台，，，，，，利便监测统计网络情形情形。。。。。。弱点是下令太少,添加用户历程重大且容易失败，，，，，，模拟情形与真真相形相比具有一定差别。。。。。。

3.2 HFish

Hfish是一款较量强盛的开源低交互Web蜜罐，，，，，，基于 Golang + SqlLite开发，，，，，，使用者可以在 Win + Linux 上快速安排一套垂纶平台，，，，，，其中包括了多种仿真服务，，，，，，如：redis、ssh、telnet、web服务等，，，，，，可以捕获攻击指令。。。。。。

启动乐成后，，，，，，直接通过浏览器会见 IP：9001 端口即可举行会见，，，，，，默认上岸账号/密码为admin/admin。。。。。。界面如下：

登录乐成后使用扫描器举行扫描，，，，，，模拟攻击行为，，，，，，在攻击详情中会纪录所有对蜜罐的会见请求，，，，，，包括正常请求、攻击行为、暴力破解等。。。。。。

可以看到，，，，，，ssh会见模拟攻击登录蜜罐后账号密码都会被纪录。。。。。。

wordpress诱骗服务界面如下图，，，，，，攻击者会见登录9000端口的web页面举行登录操作会纪录到后台中，，，，，，但这是一个静态页面，，，，，，是无法登录乐成的。。。。。。

总结：

是一款集中式低中交互蜜罐，，，，，，简朴有用；；；；；

支持SSH、FTP、TFTP、MySQL、Redis、Telnet、VNC、Memcache、Elasticsearch、Wordpress、OA系统等10多种蜜罐服务，，，，，，支持用户制作自界说Web蜜罐；；；；；

支持多平台装置Linux x32/x64/ARM、Windows x32/x64平台，，，，，，兼容性较好。。。。。。

3.3 bap

bap 是一款低交互web服务蜜罐，，，，，，通过制作的web登录页面诱导攻击者攻击，，，，，，可以纪录HTTP基自己份验证凭证以及会见日志。。。。。。

安排bap蜜罐并会见蜜罐地点，，，，，，浏览器web显示为如下登录认证页面：

使用抓包工具剖析登录历程，，，，，，登录抓包审查数据包，，，，，，审查响应发明登录验证直接跳到原来登录界面，，，，，，不提醒任何新闻回显：

登录验证纪录会纪录到pot.log文件：

会见日志纪录到access.log文件：

服务器过失日志纪录到error.log文件：

总结：

bap可以捕获到账号和密码以及会见的日志；；；；；

安排简朴利便，，，，，，消耗资源较少；；；；；

和真真相形有显着差别，，，，，，容易被识别绕过。。。。。。

04 总结

古板的基于IP的溯源要领对攻击者的身份信息获取十分有限，，，，，，很难实时举行有用溯源和反制。。。。。。蜜罐系统则给了防守方反制的时机，，，，，，通过蜜罐里预设的反制手段，，，，，，自动获取攻击者主机或者网络的信息，，，，，，来更准确的定位攻击者的身份，，，，，，实现更精准的溯源。。。。。。

在海内外，，，，，，许多的开源蜜罐为构建清静网络天下做出了主要孝顺，，，，，，蜜罐不但展示出了优异的诱捕和溯源能力，，，，，，在现代化清静运营中，，，，，，同样饰演着主要角色，，，，，，对企业清静防护能力建设有很是主要的现实意义。。。。。。