手机版

蜜罐诱骗的基础知识讲解(16)

发布时间:2021-06-08   来源:未知    
字号:

近年来,由于黑帽子群体越来越多地使用加密技术,数据收集任务的难度大大增强。如今,他们接受了众多计算机安全专业人士的建议,改而采用SSH等密码协议,确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统,以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志,蜜网计划采用了一种隐蔽技术。譬如说,把敲入字符隐藏到NetBIOS广播数据包里面。

蜜罐技术的优势

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就容易多了。

自1999年启动以来,蜜网计划已经收集到了大量信息,你可以在上找到。部分发现结果包括:攻击率在过去一年增加了一倍;攻击者越来越多地使用能够堵住漏洞的自动点击工具(如果发现新漏洞,工具很容易更新);尽管虚张声势,但很少有黑客采用新的攻击手法。

蜜罐主要是一种研究工具,但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上,你就可以了解它所遭受到的攻击。

当然,蜜罐和蜜网不是什么“射后不理”(fire and forget)的安全设备。据蜜网计划声称,要真正弄清楚攻击者在短短30分钟内造成的破坏,通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐,你要不断与黑客斗智斗勇。可以这么说:你选择的是战场,而对手选择的是较量时机。因而,你必须时时保持警惕。

蜜罐领域最让人兴奋的发展成果之一就是出现了虚拟蜜网。虚拟计算机网络运行在使用VMware或User-Mode Linux等虚拟计算机系统的单一机器之上。虚拟系统使你可以在单一主机系统上运行几台虚拟计算机(通常是4到10台)。虚拟蜜网大大降低了成本、机器占用空间以及管理蜜罐的难度。此外,虚拟系统通常支持“悬挂”和“恢复”功能,这样你就可以冻结安全受危及的计算机,分析攻击方法,然后打开TCP/IP连接及系统上面的其它服务。

对大组织的首席安全官(CSO)来说,运行蜜网最充分的理由之一就是可以发现内部不怀好意的人。

蜜罐技术的法律问题

出乎意料的是,监控蜜罐也要承担相应的法律后果,譬如说,有可能违反《反窃听法》。虽然目前没有判例法,但熟悉这方面法律的人士大多数认为,双方同意的标语是出路所在。也就是说,给每个蜜罐打上这样的标语:“使用该系统的任何人同意自己的行为受到监控,并透露给其他人,包括执法人员。”

蜜罐诱骗的基础知识讲解(16).doc 将本文的Word文档下载到电脑,方便复制、编辑、收藏和打印
×
二维码
× 游客快捷下载通道(下载后可以自由复制和排版)
VIP包月下载
特价:29 元/月 原价:99元
低至 0.3 元/份 每月下载150
全站内容免费自由复制
VIP包月下载
特价:29 元/月 原价:99元
低至 0.3 元/份 每月下载150
全站内容免费自由复制
注:下载文档有可能出现无法下载或内容有问题,请联系客服协助您处理。
× 常见问题(客服时间:周一到周五 9:30-18:00)