2017.W37 - Honeypot (蜜罐) > 人生好难 连台风都来个大曲球 ## 前言 ## 接下来几篇文章 应该都会介绍如何 '防御' 骇客入侵 防御的意思不是完美的阻挡骇客入侵 而是任何有效的避免下一次入侵的方法 ## 内容 ## Honeypot (蜜罐) [0] 在资讯安全中算是一个有趣的分类 他的目的不在於避免、阻挡骇客入侵 而是捕捉骇客入侵的一种手段 捕捉入侵的意思包含着： 1- 前期攻击的侦测行为 2- 实际攻击的手法 3- 攻击者资讯 为了有效捕捉 通常蜜罐会被设计成具有漏洞、高度价值的系统 像是低安全性的密码、具有漏洞版本的软体、网域或邮件伺服器等 就特性来分类 蜜罐可以分成：低互动 (Low-Interaction) 跟高互动 (High-Interaction) 两种 两种分别代表系统本身跟真实系统的相似程度 以一个 SSH Honeypot 为例 低互动代表着可以做 SSH Handshack 但无法真正登入、底层没有相对应的档案系统 高互动代表着跟一个正常的 SSH 服务一致 有档案系统、(受限制的) 指令操作等 但是高互动也代表着让攻击者拥有相当能力做更多的事情 而高互动蜜罐到了极致 则是一个完整的系统 (但没有有用的资料、跟实际系统隔离) 当攻击者成功入侵之後 很有机会再拿来做恶意用途 一个低互动的蜜罐 容易遭到入侵者的怀疑而停止攻击 高互动的蜜罐则需要思考如何完整纪录整个攻击手法 当入侵者进入到系统之後 则代表着拥有足够的权限操作系统 (低权限的情况 攻击者会试图提权) 这也代表着入侵者完全可以抹除入侵的纪录 [1] 在资安领域中 数位监识 (Forensics)[2] 跟匿踪是相对的技术 在高互动的蜜罐就需要思考 如何保留数位足迹与数位指纹 [0]: https://zh.wikipedia.org/wiki/蜜罐_(电脑科学) [1]: https://www.hackingloops.com/how-to-remove-traces-make-your-computer-untraceable/ [2]: https://zh.wikipedia.org/wiki/数位监识 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1505233436.A.22D.html