honeypot 是乙個故意設計為有缺陷的系統,通常是用來對入侵者的行為進行警報或者
誘騙。傳統的 honeypot 是一般情況下模擬其他作業系統或者一些常見漏洞,而 honeynet
則有所不同,它是乙個學習的工具,下面是它們之間兩個最大的區別所在:
● 根據 snort creator marty roesch. marty 我們可以把 honeypot 廣義的分成二類:
這二類為產品及研究,所謂產品式 honeypot 即為幫助組織減少風險和增加組織裡的安
全評量。而研究式則為要獲得在駭客社群裡的相關資訊所設定的。
● honeynet 是乙個網路系統,而並非某台單一主機,這一網路系統是隱藏在防火牆後面
的,所有進出的資料都受到監控、捕獲及控制。這些**獲的資料可以對我們研究分析
入侵者們使用的工具、方法及動機。在這個honeynet中,我們可以使用各種不同的作業
系統及裝置,如 solaris linux windows nt cisco switch 等等。這樣建立的網路
環境看上去會更加真實可信,同時我們還有不同的系統平台上面執行著不同的服務,比
如 linux 的 dns server,windows nt 的webserver 或者乙個 solaris 的ftp server
,我們可以學習不同的工具以及不同的策略--或許某些入侵者僅僅把目標定於幾個特定
的系統漏洞上,而我們這種多樣化的系統,就可能更多了揭示出他們的一些特性。
● 在 honeynet 中的所有系統都是標準的機器,上面執行的都是真實完整的作業系統及應
用程式--我們沒有刻意地模彷某種環境或者故意使系統不安全。
honeynet是乙個用來學習的駭客如何入侵系統的工具,包含了設計好的網路系統。
honeynet 和 honeypot 最為人所知的差異是 honeypot 通常是指一台機器,在上面常見的
軟體有 the deception toolkig or specter,而 honeynet 是乙個電腦所組成的網路。最
常見的 honeynet 建置元素有:
● 防火牆,它記錄了所有進出的連線且提供了 nat 的服務和 dos 的保護。
● 入侵偵側系統(ids),ids和防火牆有時會放置在同乙個位置,它記錄了網路上的流量且
尋找攻擊和入侵的線索。
● 遠端日誌電腦,稍微的修改成所有的入侵者的指令能夠傳送到系統日誌。系統日誌通常
設定成遠端的系統日誌。
● honeypot,我們設定好的honeypot可為任何作業系統,當設定 honeypot 時,能做小小
的改變,以免入侵者查覺到這是乙個 honeynet。
honeynet 是乙個很有價值的研究,學習和教育的工具,藉著這個工具使我們能了解到
入侵者的攻擊方式,以便未來能偵測到入侵。從honeynet 所收集來的資訊能被分析且能監
視攻擊的趨勢。這些資訊也可被用教作教育訓練。
一般而言,建置 honeypot 大多有兩個原因:
1.學習入侵者如何偵測和企圖獲得系統的訪問許可權,當駭客的行為被記錄下來之後,我們
就可以藉此分析,來找出更好的方法來保護我們真實的系統。
2.對於逮補入侵者所需的證據,這類的資訊在法庭上都需要作為控告人侵者的證據。
honeypot 所面臨法律相關問題
● 誘捕的問題:
誘捕是乙個法律術語,用於執法人員誘使乙個罪犯從事一項非法行為,否則他們可能不
會從事該非法行為。我們不是執法部門,我們不是在執法部門的控制下行動,而且我們
甚至沒有起訴的意圖,所以,我們不認為安裝乙個 honeynet 是誘捕行為。其他人將爭
論說我們正在提供乙個"吸引人的目標",意味著我們把不可靠的系統置於網上,以誘使
人們攻擊他們,從而把他們作為攻擊別人的手段來使用。這也是錯誤的,因為我們並沒
有通過任何方式來宣傳這些系統。如果有人發現了我們的乙個系統,損害了它,並且使
用它作他們不應當做的事情,那是因為他們在主動地和有意地從事這種非授權的行為。
● 保密的問題:
而關於這些活動有一些道德上的和倫理上的問題,最近由美國司法局,刑事庭,受理上
訴的法官裁定,反對對於在電腦入侵和欺騙的犯罪案件中,對侵犯隱私權進
行辯護。包
括下面一些問題:
1. 入侵這些系統的人是未經授權的,如果他們把任何檔案置於系統上(當他們沒有合法
的帳號或使用特權時),我們認為他們已經不能保有在我們系統上的隱私權。
2. 通過使用我們的系統進行通訊,他們就已經在通訊中放棄了他們的隱私權。
3. 我們不提供公用的帳號,所以我們不是乙個服務**商,不受為服務**商所設計的
保密要求的限制。
4. 不管怎樣,我們不是執法部門,我們也不是在執法部門的控制下行動,或甚至起訴入
侵我們系統的入侵者,所以,我們不受證據收集規定的限制,而執法部門和他們的執
法人員卻要受到其限制。
5. 即使我們真的目擊了一起嚴重的電腦犯罪,並且決定告發它,我們收集日誌和記錄網
路流量,將其作為乙個"商業運營"的常規過程,如果我們決定告發的時候,我們可以
自由地將其交給執法部門。
honeypot的優點與缺點
優點:
1. 資料收集
honeypots 收集少量的資料,但資料都是具有**值的。它去除了大量的雜訊,使它能
夠簡單的收集資料。在安全上中的最好的問題之一,就是如何在大量的資料當中,找到
你所需要的資料,honeypot 能使你快速簡單地去收集資料並且了解。比如
honeynet project,它是乙個研究 honeypot 的團隊,平垮每天收集 1-5mb 的資料,
這些資訊一般都是很有價值的,不只能看到網路上的行動,並且能得知入侵者如何入侵
這個系統。
2. 資源
許多安全工具會被頻寬所限制住。網路入侵偵測裝置不能夠去追蹤所有的網路行為,而
丟棄封包。集中化的日誌伺服器並無法收集所有的系統日誌,而潛在地流失日誌記錄。
honeypots 則沒有這個問題,它僅僅去擷取對於他有關係的動作。
缺點:
1. 單一資料收集點
honeypots 放置乙個很大的系統漏洞,如果沒有攻擊者來攻擊,即變得一點價值都沒有
,也無法得知任何未授權的行為。
2. 風險
honeypots 對於你的環境也能夠招致風險,作為攻擊者另外一次攻擊的平台,風險是變
動性的,全依靠如何建置及如何利用 honeypots。
虛擬攻防系統
honeypot 是乙個故意設計為有缺陷的系統,通常是用來對入侵者的行為進行警報或者 誘騙。傳統的 honeypot 是一般情況下模擬其他作業系統或者一些常見漏洞,而 honeynet 則有所不同,它是乙個學習的工具,下面是它們之間兩個最大的區別所在 根據 snort creator marty r...
虛擬攻防系統
honeypot 是乙個故意設計為有缺陷的系統,通常是用來對入侵者的行為進行警報或者 誘騙。傳統的 honeypot 是一般情況下模擬其他作業系統或者一些常見漏洞,而 honeynet 則有所不同,它是乙個學習的工具,下面是它們之間兩個最大的區別所在 根據 snort creator marty r...
虛擬攻防系統
honeypot 是乙個故意設計為有缺陷的系統,通常是用來對入侵者的行為進行警報或者 誘騙。傳統的 honeypot 是一般情況下模擬其他作業系統或者一些常見漏洞,而 honeynet 則有所不同,它是乙個學習的工具,下面是它們之間兩個最大的區別所在 根據 snort creator marty r...