本文作者：Cherishao（信安之路合伙人 & 信安之路应急响应小组组长） 人才招募：信安之路应急响应小组寻找志同道合的朋友

一个接入互联网的网站，只要能和外部产生通信，就有被黑客攻击的可能；使用某种陷阱来引诱攻击者，就可以避免自身不被攻击，这种引诱黑客攻击的 “陷阱” 就是 “蜜罐” 。蜜罐是存在漏洞的、暴漏在互联网中的一个虚假的服务（器） 其价值在于被扫描、攻击和攻陷。

蜜罐分类

按类型我们可以将蜜罐分为：产品型 （容易部署 、 实时报警），研究型（高交互、数据捕获）；按交互可分为低中交互（模拟的 TCP/IP 协议栈、模拟的服务 & 漏洞），高交互（ 真实的系统 & 应用 & 漏洞，数据捕获、分析、控制）。

蜜罐主要优势

蜜罐的主要优势在于能诱导和记录网络攻击行为，阻止或延缓其对真正目标的攻击，而且能记录攻击日志，便于审计和回溯。

    if 系统没有对外开放任何真实的服务      
     then 任何一个对它的连接尝试都是可疑的

蜜罐起源

”蜜罐“ 这一概念最早起源于一本上世纪出版的小说——《The Cuckoo's Egg》 ，小说描述了主人公作为一个公司的网管人员，如何追踪并发现一起商业间谍的故事，该书的作者 CliffordStoll 还是个计算机安全专家，他在 1988 年提出 “蜜罐是一个了解黑客的有效手段” 。

在这一概念被提出 10 年后，蜜罐思想吸引到一匹网络安全技术员的注意，同时也开发出一批相应的虚拟蜜罐产品，该阶段的 “蜜罐工具” 能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

低交互式蜜罐不足

该阶段的蜜罐为低交互式蜜罐，只是模拟出了真正操作系统的一部分，例如模拟一个 FTP 服务。虽然低交互式蜜罐容易建立和维护，但模拟可能不足以吸引攻击者，还可能导致攻击者绕过系统发起攻击，从而使蜜罐在这种情况下失效。

蜜罐发展

为了获取更多攻击者信息，于是有人就提出一些设想：

如果用蜜罐获取到更多的攻击者信息，比如攻击者的 IP，就可以对攻击来源打上标记，这样一来就可以直接防御来自被标记的攻击。

在这种思想的引领下，衍生出了一种高交互蜜罐。高交互蜜罐提供真实的操作系统和真实的服务，因此，这种蜜罐的交互性最强，收集到的数据也最全面。

更多开源 “蜜罐” 可见以下列表链接：

https://github.com/paralax/awesome-honeypots/blob/master/README_CN.md

高交互蜜罐风险与挑战

高交互蜜罐部署和维护起来十分困难，而且被攻破的系统可能会被用来攻击互联网上其他的系统，这必须承担很高的风险，数据收集也是设置蜜罐的技术挑战。

1、蜜罐监控者需记录下进出系统的每个数据包；

2、蜜罐本身上面的日志文件也是很好的数据来源，但日志文件很容易被攻击者删除。

高交互蜜罐优点

它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就更加容易。