? 姓名：尹凱

? 學(xué)號(hào)：22011210590

? 學(xué)院：通信工程學(xué)院

? 原文鏈接：https://blog.csdn.net/u012206617/article/details/90243894

【嵌牛導(dǎo)讀】蜜罐攻擊的發(fā)展

【嵌牛鼻子】蜜罐攻擊? 攻擊欺騙

所謂創(chuàng)造隶症，往往只是將已存在的東西加以變化。你如不知道碱璃，鞋子分左右腳出售褐荷，只是百多年前才開始的勾效。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ——西爾維婭·普拉斯

? ? ? ? 蜜罐用于攻擊感知早已不是什么新興的技術(shù)，相信上到安全大牛下到運(yùn)維萌新都對(duì)其如雷貫耳叛甫。但同時(shí)层宫，它又是一個(gè)很玄學(xué)的存在：有些方案能夠使得其感知靈敏度如東方不敗的繡花針般百轉(zhuǎn)千回；而另一些方式則使其麻木不仁至于自家數(shù)據(jù)被掛在暗網(wǎng)上售賣還不自知其监。

? ? ? ? 由此可見卒密，蜜罐其實(shí)有很多“門道”，這次我們從蜜罐發(fā)展史看起棠赛，進(jìn)而了解目前商業(yè)蜜罐方案的變革與缺陷，最后介紹基于攻擊欺騙技術(shù)內(nèi)網(wǎng)攻擊感知能力的優(yōu)勢(shì)膛腐、應(yīng)用場景及其未來趨勢(shì)睛约。

一、蜜罐發(fā)展簡史

? ? ? ? 在發(fā)展迅猛的互聯(lián)網(wǎng)哲身，技術(shù)的誕生永如白駒過隙辩涝，被我們熟知的蜜罐看似古老，實(shí)際距離其實(shí)際技術(shù)落地距今也不過20年勘天。

? ? ? ? 蜜罐概念在上世紀(jì)90年代初才出現(xiàn)怔揩，首次被系統(tǒng)性提出是在1991年1月1日IFF STOLL的著作《The cuckoo's egg》中捉邢，這是基于作者IFF STOLL在80年代一次事件中與德國黑客斗智斗勇經(jīng)歷改編的第一人稱黑客小說，小說中IFF STOLL根據(jù)德國黑客留下的蛛絲馬跡以及攻擊喜好商膊，建立了一個(gè)精心設(shè)計(jì)的惡作劮ァ：一個(gè)虛假的部門、虛假的系統(tǒng)以及虛假的文件晕拆，最終成功將攻擊者引入并獲得身份信息藐翎，這也是業(yè)內(nèi)第一次將蜜罐的理念公布與眾。

? ? ? ? 之后的1992年实幕，Lance spitzner的《honeypot》則以更為現(xiàn)實(shí)的場景討論了商用honeypot吝镣、自制honeypot以及honeypot的技術(shù)原理，主要側(cè)重于其運(yùn)作方式昆庇、價(jià)值末贾、實(shí)現(xiàn)方式及相應(yīng)的優(yōu)勢(shì)。同時(shí)作者Lance Spitzner也是Honeynet Project的創(chuàng)始人之一整吆，Honeynet Project是一家由30名安全專家創(chuàng)立的非贏利組織拱撵，旨在研究和了解黑客的工具、戰(zhàn)術(shù)和動(dòng)機(jī)掂为，以及將這些研究成果在安全界共享裕膀。該組織直到2007年一直致力于蜜罐領(lǐng)域，為該技術(shù)提供了諸多貢獻(xiàn)勇哗。此外昼扛，《honeypot》曾在2004年被清華大學(xué)出版社引入到國內(nèi)，成為了我國本世紀(jì)初蜜罐技術(shù)為數(shù)不多的指南型中文文獻(xiàn)欲诺。

? ? ? ? 此后直到1998 年左右抄谐，“蜜罐”還僅僅限于一種思想，通常由網(wǎng)絡(luò)管理人員應(yīng)用扰法，通過欺騙黑客達(dá)到追蹤的目的蛹含。這一階段的蜜罐實(shí)質(zhì)上是一些真正被黑客所攻擊的主機(jī)和系統(tǒng)。從1998 年開始塞颁，蜜罐技術(shù)開始吸引了一些安全研究人員的注意浦箱，并開發(fā)出一些專門用于欺騙黑客的開源工具，如Fred Cohen 所開發(fā)的DTK（欺騙工具包）祠锣、Niels Provos 開發(fā)的Honeyd 等酷窥，同時(shí)也出現(xiàn)了像KFSensor、Specter 等一些商業(yè)蜜罐產(chǎn)品伴网。這一階段的蜜罐可以稱為是虛擬蜜罐蓬推，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，并對(duì)黑客的攻擊行為做出回應(yīng)澡腾，從而欺騙黑客沸伏。

? ? ? ? 此時(shí)的蜜罐根據(jù)對(duì)攻擊行為的回應(yīng)方式糕珊，大致可分為回應(yīng)式和黑洞式。

? ? ? ? 回應(yīng)式蜜罐為傳統(tǒng)蜜罐中最為常見的形式毅糟，其工作邏輯為直接將蜜罐部署于真實(shí)業(yè)務(wù)環(huán)境中红选，當(dāng)攻擊者進(jìn)入業(yè)務(wù)環(huán)境，對(duì)其進(jìn)行探測時(shí)留特，該蜜罐將對(duì)攻擊者的所有探測都回應(yīng)以滿足條件的正確應(yīng)答纠脾。即在攻擊者視角中，該蜜罐可以滿足其所有攻擊所需條件蜕青。

? ? ? ? 由于回應(yīng)式蜜罐的這種特性苟蹈，對(duì)于有經(jīng)驗(yàn)的攻擊者而言，分辨出哪些是蜜罐十分容易右核，導(dǎo)致攻擊者直接不再對(duì)其進(jìn)行攻擊慧脱，轉(zhuǎn)身去探測真實(shí)業(yè)務(wù)。

? ? ? ? 黑洞式蜜罐相比于回應(yīng)式蜜罐贺喝，擁有更好的偽裝性菱鸥。其工作邏輯也是直接將蜜罐部署于真實(shí)業(yè)務(wù)環(huán)境中，但當(dāng)攻擊者進(jìn)入業(yè)務(wù)環(huán)境躏鱼，對(duì)其進(jìn)行探測時(shí)氮采，該蜜罐將不對(duì)攻擊者返回任何應(yīng)答，就像黑洞一樣只接收攻擊者的攻擊和探測染苛，但不會(huì)向其回應(yīng)攻擊結(jié)果鹊漠。即在攻擊者視角中，該蜜罐攻擊是否成功一直存疑茶行，利用攻擊者技術(shù)操守的求勝心里和鉆研心態(tài)將其限制在對(duì)該蜜罐的攻擊躯概，為真實(shí)業(yè)務(wù)的應(yīng)急保護(hù)爭取時(shí)間。

? ? ? ? 由于黑洞式蜜罐的這種心理戰(zhàn)術(shù)畔师，其針對(duì)技術(shù)性攻擊者往往具有比低交互蜜罐更好的效果娶靡。但無論是上述哪種蜜罐，受限于當(dāng)時(shí)的技術(shù)能力看锉，都擁有著如下缺陷：

1姿锭、 模擬的手段還是停留在終端系統(tǒng)層面，沒有辦法允許攻擊者真實(shí)攻擊進(jìn)蜜罐環(huán)境伯铣，導(dǎo)致其僅能對(duì)探測行為做出回應(yīng)并實(shí)時(shí)告警艾凯，但無法擁有有效手段拖延攻擊者的攻擊時(shí)限，同時(shí)容易引起攻擊者的猜疑和規(guī)避懂傀。

2、 直接部署蜜罐于真實(shí)環(huán)境蜡感，由于每一個(gè)此類互蜜罐在當(dāng)時(shí)就是一個(gè)真實(shí)主機(jī)蹬蚁，所以部署成本較為高昂恃泪，一般難以進(jìn)行高密度的部署，導(dǎo)致真實(shí)業(yè)務(wù)中的蜜罐數(shù)量于真實(shí)業(yè)務(wù)數(shù)量相比過于稀少犀斋，使得即使攻擊者進(jìn)入業(yè)務(wù)環(huán)境進(jìn)行攻擊贝乎，這些蜜罐由于數(shù)量問題，很有可能無法被攻擊者第一時(shí)間探測到叽粹。換言之览效，低交互蜜罐的攻擊感知效果很大程度上依賴于蜜罐的部署密度，然而由于上述的成本問題虫几，部署密度往往不如人意锤灿。

二、商業(yè)公司的蜜罐變革與缺陷

? ? ? ? 根據(jù)上述蜜罐技術(shù)的種種缺陷辆脸，在之后的數(shù)年中但校，各商業(yè)公司均持續(xù)發(fā)力，旨在創(chuàng)造更為有效和實(shí)用的蜜罐技術(shù)啡氢。通過他們的不懈努力状囱，蜜罐技術(shù)擁有了更為長足的發(fā)展，并對(duì)上述蜜罐的種種缺陷進(jìn)行了不同程度的彌補(bǔ)倘是，主要體現(xiàn)在兩部分：模擬細(xì)化和分布部署亭枷。

? ? ? ? 各商業(yè)公司通過更為細(xì)化的模擬手段，將原有蜜罐的模擬層面從終端系統(tǒng)層下放至應(yīng)用層面搀崭，即可以模擬各類常見應(yīng)用使得攻擊者能夠進(jìn)入此類應(yīng)用進(jìn)行基本控制操作叨粘，深化了蜜罐交互仿真度；同時(shí)針對(duì)部署密度和成本問題门坷，增設(shè)了探針宣鄙，蜜罐不再是直接實(shí)機(jī)部署在真實(shí)業(yè)務(wù)，而是通過在真實(shí)環(huán)境部署探針降低單點(diǎn)部署成本默蚌，增加部署密度冻晤，并將探針與后臺(tái)蜜罐關(guān)聯(lián)，實(shí)現(xiàn)對(duì)攻擊的感知绸吸。

? ? ? ? 基于上述兩點(diǎn)優(yōu)化思想鼻弧，各商業(yè)公司提供了現(xiàn)今我們市面上看到的種類繁多的商業(yè)化蜜罐方案，總結(jié)來看此類方案可以歸納成兩類：探針導(dǎo)向式和流量牽引式锦茁。

? ? ? ? 探針導(dǎo)向式即如我們所述攘轩，通過在真實(shí)業(yè)務(wù)中部署探針降低單點(diǎn)部署成本，同時(shí)通過模擬應(yīng)用提升仿真度码俩，當(dāng)攻擊者攻擊探針時(shí)度帮，探針將進(jìn)行轉(zhuǎn)發(fā)，從而將攻擊者帶入蜜罐的模擬應(yīng)用中，從而第一時(shí)間感知攻擊者行為并進(jìn)行告警笨篷。

? ? ? ? 流量牽引式其實(shí)與探針導(dǎo)向式類似瞳秽，只是其將探針的導(dǎo)向能力交給了流量牽引器，牽引器前端關(guān)聯(lián)探針率翅，后端關(guān)聯(lián)蜜罐练俐，一旦探針受到攻擊，流量牽引器會(huì)更改其流量方向冕臭，將攻擊牽引至蜜罐中腺晾，從而實(shí)現(xiàn)對(duì)攻擊者的感知和嘗試駐留。

? ? ? ? 上述兩種目前的主流蜜罐方案都很好的解決了前代蜜罐方案的缺陷辜贵，但其本身也不是完美無缺的悯蝉，主要缺陷體現(xiàn)在如下幾個(gè)方面。

1念颈、感知依然被動(dòng)

? ? ? ? 上述商業(yè)蜜罐方案雖然較好的解決了部署密度問題乎澄，但是對(duì)于攻擊者的攻擊意圖暴露引導(dǎo)缺乏能力胆数，即缺乏攻擊者主動(dòng)攻擊探針的誘因，依然使被動(dòng)的等待攻擊者的行為，這使得感知攻擊成為了一件“撞大運(yùn)”的事情：攻擊者剛好闖到我探針則皆大歡喜加勤，沒碰上……那我也算沒有功勞也有苦勞了灭贷，盡力了门烂，盡力了……從這個(gè)角度來看鲤嫡，現(xiàn)有的商業(yè)蜜罐方案，即使無限量增加探針（實(shí)際基于成本并不可行）柿祈，在海量的真實(shí)業(yè)務(wù)量級(jí)面前哈误，攻擊引導(dǎo)問題的解決程度依然十分有限。

2躏嚎、缺乏溯源能力

? ? ? ? 現(xiàn)有的商業(yè)蜜罐方案對(duì)于攻擊者的記錄是較為完備的蜜自，但是現(xiàn)今的攻擊者往往不再使用自身ip進(jìn)行攻擊行為，一般是采取跳板或VPN的形式間接隱藏自身的網(wǎng)絡(luò)ip及身份信息卢佣，而對(duì)此類偽裝的識(shí)別能力重荠，則是現(xiàn)有的商業(yè)蜜罐方案十分欠缺的一個(gè)痛點(diǎn)，這些現(xiàn)有商業(yè)蜜罐方案往往一五一十地將攻擊行為和信息記錄虚茶，然而一旦其中記錄的信息是攻擊者的偽裝戈鲁，則沒有識(shí)別其真實(shí)信息的能力。

? ? ? ? 實(shí)際上嘹叫，不僅目前現(xiàn)有商業(yè)蜜罐方案不具有該能力婆殿，主流的事后應(yīng)急響應(yīng)流程也難以對(duì)攻擊者進(jìn)行十分有效的追溯，像2018年底較為火熱的“驅(qū)動(dòng)人生APT攻擊事件”罩扇，受害方事后邀請(qǐng)第三方安全團(tuán)隊(duì)進(jìn)行溯源時(shí)婆芦，亦止步于攻擊者的境外ip跳板。由于此類商業(yè)方案和事后響應(yīng)在攻擊者溯源上的能力缺失，導(dǎo)致至今為止的絕大多數(shù)受攻擊方難以有效對(duì)攻擊者本人進(jìn)行追溯和司法維權(quán)寞缝，最終往往無疾而終癌压。

三、攻擊欺騙：與攻擊者的智商博弈

? ? ? ? Gartner從2015年起連續(xù)四年將攻擊欺騙列為最具有潛力的安全技術(shù)荆陆。對(duì)此Gartner給出的定義是：通過使用欺騙或者誘騙手段來挫敗或者阻止攻擊者的認(rèn)知過程，從而破壞攻擊者的自動(dòng)化工具集侯，拖延攻擊者的活動(dòng)或者檢測出攻擊被啼。通過在企業(yè)防火墻背后使用欺騙技術(shù)，企業(yè)就可以更好地檢測出已經(jīng)突破防御的攻擊者棠枉，對(duì)所檢測到的事件高 度信任浓体。欺騙技術(shù)的實(shí)施現(xiàn)在已經(jīng)覆蓋堆棧中的多個(gè)層，包括端點(diǎn)辈讶、網(wǎng)絡(luò)命浴、應(yīng)用和數(shù)據(jù)。

? ? ? ? 從Gartner給出的定義來看贱除，大致有以下幾個(gè)重點(diǎn)：

? ? ? ? 1. 它是通過欺騙或者誘騙的手段來挫敗或者阻止攻擊者的認(rèn)知過程生闲；

? ? ? ? 2.它是自動(dòng)化的；

? ? ? ? 3.在自動(dòng)化之上月幌，它是建設(shè)在企業(yè)防火墻背后的碍讯，通過在企業(yè)防火墻背后用攻擊欺騙來檢測出已經(jīng)入侵到內(nèi)網(wǎng)的攻擊者；

? ? ? ? 4.它包含多個(gè)層面扯躺，包括在端點(diǎn)捉兴、網(wǎng)絡(luò)、應(yīng)用录语、數(shù)據(jù)層倍啥，不同的層面用不同的方法來實(shí)現(xiàn)對(duì)應(yīng)的攻擊欺騙，來對(duì)攻擊者進(jìn)行誘捕澎埠。

? ? ? ? 國內(nèi)較早將攻擊欺騙理念成功落地的安全廠商采用的策略是將高交互云蜜網(wǎng)獨(dú)立部署于真實(shí)業(yè)務(wù)之外虽缕，通過在真實(shí)業(yè)務(wù)環(huán)境散布偽裝代理與誘餌文件將高交互云蜜網(wǎng)中的各類構(gòu)造好的漏洞、脆弱性下發(fā)到真實(shí)環(huán)境的各個(gè)角落失暂。所有構(gòu)造漏洞均與高交互云蜜網(wǎng)相關(guān)聯(lián)彼宠，攻擊此類漏洞，其流量即被轉(zhuǎn)發(fā)到云蜜網(wǎng)弟塞。此舉在攻擊者前端看來凭峡，即真實(shí)業(yè)務(wù)存在上述各種漏洞、脆弱性决记，將主動(dòng)欺騙攻擊者對(duì)上述風(fēng)險(xiǎn)進(jìn)行利用摧冀，從而使得攻擊者攻擊此類構(gòu)造漏洞從而進(jìn)入云蜜網(wǎng)系統(tǒng)。

? ? ? ? 通過主動(dòng)散布漏洞和脆弱性實(shí)現(xiàn)了對(duì)攻擊者的主動(dòng)誘捕，首次將攻擊感知置于主動(dòng)位置索昂，使得攻擊感知不再是“撞大運(yùn)”的事情建车，大大增加攻擊感知靈敏度，有效提升感知概率椒惨。

? ? ? ? 同時(shí)缤至，針對(duì)上述商業(yè)蜜罐方案發(fā)現(xiàn)攻擊者后只是進(jìn)行告警、欺騙以及行為記錄康谆，無法進(jìn)行強(qiáng)力真人溯源與黑客畫像领斥，沒有獲取攻擊者真實(shí)IP、網(wǎng)絡(luò)id的手段的問題沃暗，具有先發(fā)優(yōu)勢(shì)的廠商會(huì)在欺騙方案中融入自研的溯源技術(shù)月洛，可對(duì)當(dāng)前攻擊者的相關(guān)信息進(jìn)行強(qiáng)力溯源，暴漏其相關(guān)真實(shí)ip信息和網(wǎng)絡(luò)身份孽锥，效果相當(dāng)于攻擊者在攻擊的同時(shí)被進(jìn)行了反向滲透嚼黔，從而有效獲得各類真實(shí)攻擊者信息，擁有各類真實(shí)溯源案例惜辑，具有更強(qiáng)的攻擊溯源精確性唬涧，使被攻擊客戶擺脫事后溯源無望的窘境。

四韵丑、攻擊欺騙應(yīng)用及未來趨勢(shì)

? ? ? ? 目前國內(nèi)成熟的攻擊欺騙方案已成功應(yīng)用于金融爵卒、互聯(lián)網(wǎng)、能源撵彻、制造業(yè)等多個(gè)領(lǐng)域钓株，擁有各類定制化應(yīng)用場景和真實(shí)案例。

? ? ? ? 這里分享一個(gè)真實(shí)案例陌僵，攻擊者通過內(nèi)網(wǎng)對(duì)虛假tomcat應(yīng)用進(jìn)行爆破轴合，其所有行為均被記錄，且在攻擊過程中碗短，對(duì)其進(jìn)行了一系列反滲透操作受葛，成功獲取其真實(shí)ip地址以及網(wǎng)絡(luò)id身份。

? ? ? ? 在未來偎谁，根據(jù)目前的發(fā)展趨勢(shì)总滩，將會(huì)有至少兩項(xiàng)的長足發(fā)展：

1、AI輔助行為分析以及攻擊處理

? ? ? ? 目前的行為記錄依然存在提升空間巡雨，后續(xù)的趨勢(shì)將是通過AI輔助進(jìn)行攻擊行為分析整理闰渔，在AI的幫助下，各攻擊事件記錄不再是割裂的個(gè)體铐望，而是更為完整和真實(shí)的行為鏈條冈涧，降低對(duì)攻擊者行為的意圖理解難度茂附，給展示方更為直觀的攻擊行為和意圖鏈條，同時(shí)支持對(duì)AI進(jìn)行策略定制督弓，使得AI能夠自動(dòng)化針對(duì)某些特定行為和意圖自動(dòng)以第三方聯(lián)動(dòng)的方式進(jìn)行處理营曼，實(shí)現(xiàn)更為有效的安全應(yīng)急和真實(shí)業(yè)務(wù)連續(xù)性保證。

2愚隧、更細(xì)粒度的環(huán)境模擬

? ? ? ? 當(dāng)前業(yè)內(nèi)的通常模擬粒度是應(yīng)用層面蒂阱，領(lǐng)先的攻擊欺騙方案已經(jīng)將模擬層次下降至文件層面，實(shí)現(xiàn)對(duì)文件泄漏渠道的溯源狂塘。云蜜網(wǎng)可存放構(gòu)造文件蒜危，此類文件具有溯源能力，一旦被帶出內(nèi)網(wǎng)在外網(wǎng)觸發(fā)睹耐，將被直接追溯相關(guān)泄漏者信息。不過當(dāng)前支持的文件格式有限部翘，后續(xù)將進(jìn)一步發(fā)展該項(xiàng)能力的支持范圍硝训，實(shí)現(xiàn)攻擊感知至于的文件流向管控和追蹤能力。

五新思、總結(jié)

? ? ? ? 從蜜罐的發(fā)展中不難看出窖梁，蜜罐通過對(duì)環(huán)境的模擬細(xì)化和感知增強(qiáng)，煥發(fā)著愈發(fā)強(qiáng)大的攻擊感知能力夹囚，從傳統(tǒng)蜜罐的終端系統(tǒng)層面模擬和交互感知纵刘，到商業(yè)蜜罐方案的應(yīng)用層面模擬以及交互感知和駐留，再到目前攻擊欺騙方案的主動(dòng)誘捕荸哟、反滲透以及更為細(xì)化文件模擬和泄漏溯源假哎，技術(shù)在不斷嘗試和磨合中不斷進(jìn)行著看似微不足道實(shí)際效果驚人的自我創(chuàng)造，形成了日新月異的技術(shù)進(jìn)步鞍历。

? ? ? ? 猶如美國女詩人西爾維婭·普拉斯所言：所謂創(chuàng)造舵抹，往往只是將已存在的東西加以變化。你如不知道劣砍，鞋子分左右腳出售惧蛹，只是百多年前才開始的。?

? ? ? ? 也正是因?yàn)檫@些技術(shù)革新刑枝，使得采用不同階段方案的實(shí)際部署效果大不相同香嗓，造成了攻擊感知效果的巨大差距，那么進(jìn)入新中國成立70周年装畅、舉國進(jìn)入新階段新篇章靠娱、攻擊者也不甘落后，不斷革新攻擊手法的2019年洁灵，你的選擇饱岸，會(huì)是什么呢掺出？

————————————————

版權(quán)聲明：本文為CSDN博主「墨痕訴清風(fēng)」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議苫费，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明汤锨。