蜜罐怎麼搭建技術

⑴ 蜜罐技術

如果通過某種方式知道有一個IP在對計算機發起攻擊，想要封掉這個IP，或希望關閉一個不必要的危險埠，可以通過個人防火牆來實現。（書中舉例了使用<諾頓個人防火牆>）

入侵檢測系統能夠對網路和系統的活動情況進行監視，及時發現並報告異常現象。但是，入侵檢測系統在使用中存在著難以檢測新類型黑客攻擊方法，可能漏報和誤報的問題。

蜜罐使這些問題有望得到進一步的解決，通過觀察和記錄黑客在蜜罐上的活動，人們可以了解黑客的動向、黑客使用的攻擊方法等有用信息。如果將蜜罐採集的信息與IDS採集的信息聯系起來，則有可能減少IDS的漏報和誤報，並能用於進一步改進IDS的設計，增強IDS的檢測能力。

對攻擊行為進行追蹤屬於主動式的事件分析技術。在攻擊追蹤方面，最常用的主動式事件分析技術是「蜜罐」技術。

蜜罐是當前最流行的一種陷阱及偽裝手段，主要用於監視並探測潛在的攻擊行為。蜜罐可以是偽裝的伺服器，也可以是偽裝的主機。一台偽裝的伺服器可以模擬一個或多個網路服務，而偽裝主機是一台有著偽裝內容的正常主機，無論是偽裝伺服器還是偽裝主機，與正常的伺服器和主機相比，它們還具備監視的功能。

書中提到Trap Server.exe軟體是一個常用的蜜罐軟體。此軟體是一個適用於Win95/98/Me/NT/2000/XP等系統的「蜜罐」，可以模擬很多不同的伺服器，如ApacheHTTP Server和Microsoft IIS等

蜜罐的偽裝水平取決於三點，即內容的可信性、內容的多樣性和對系統平台的真實模擬。其中，內容的可信性是指當供給者獲取信息時，在多大程度上、用多長時間能夠吸引攻擊者；內容的多樣性是指應提供不同內容的文件來吸引攻擊者；對系統平台的真實模擬是指蜜罐系統與被偽裝的系統之間應採用相同的工作方式。在設計蜜罐的時候需要考慮下面一些問題：</br>
（1）蜜罐應當偽裝的對象類型。</br>
（2）蜜罐應當為入侵者提供何種模式的工作窗口。</br>
（3）蜜罐應當工作在何種系統平台上。</br>
（4）應當部署的蜜罐數目。</br>
（5）蜜罐的網路部署方式。</br>
（6）蜜罐自身的安全性。</br>
（7）如何讓蜜罐引人注意。</br>

由於蜜罐技術能夠直接監視到入侵的行為過程，這對於掌握事件的行為機制以及了解攻擊者的攻擊意圖都是非常有效的。根據蜜罐技術的這些功能特點，可以確定兩個主要的應用場合。

（1）對於採用網路蠕蟲機制自動進行攻擊並在網上快速蔓延的事件，部署蜜罐可以迅速查明攻擊的行為機理，從而提高事件的響應速度。</br>
（2）對於隱藏攻擊行為，以滲透方式非法獲取系統許可權入侵系統的事件，部署蜜罐有助於查明攻擊者的整個攻擊行為機制，從而逆向追溯攻擊源頭。

要成功地部署並使用蜜罐技術還需要在實際應用過程中進行一系列的操作，其中涉及的主要內容如下。

⑵ 如何搭建蜜罐

搭建一個基於Unix系統的蜜罐網路相對說來需要比較多系統維護和網路安全知識的基礎，但是做一個windows系統的蜜罐的門檻就比較低，今天我們就一起嘗試搭建一個windows下的蜜罐系統。由於win和Unix系統不一樣，我們很難使用有效的工具來完整的追蹤入侵者的行為，因為win下有各式各樣的遠程管理軟體(VNC,remote-anything)，而對於這些軟體，大部分殺毒軟體是不查殺他們的，而我們也沒有象LIDS那樣強大的工具來控制Administrator的許可權，相對而言，蜜罐的風險稍微大了點，而且需要花更加多的時間和精力。先介紹一下我們需要的軟體vpc Virtual pc，他是一個虛擬操作系統的軟體，當然你也可以選擇vmware. ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器 evtsys_exe.zip 一個把系統日誌發送到log伺服器的程序 comlog101.zip 一個用perl寫的偷偷記錄cmd.exe的程序，不會在進程列表中顯示，因為入侵者運行的的確是cmd.exe :) Kiwi_Syslog_Daemon_7 一個很專業的日誌伺服器軟體 norton antivirus enterprise client 我最喜歡的殺毒軟體，支持win2k server。當然，如果你覺得其他的更加適合你，你有權選擇 ethereal-setup-0.9.8.exe Ethereal的windows版本，Ethereal是*nix下一個很出名的sniffer，當然，如果你已經在你的honeynet中布置好了 sniffer,這個大可不必了，但是本文主要還是針對Dvldr 蠕蟲的，而且ethereal的decode功能很強，用他來獲取irc MSG很不錯的 WinPcap_3_0_beta.exe ethereal需要他的支持。 md5sum.exe windows下用來進行md5sum校驗的工具 windows 2000 professional的ISO鏡象 用vpc虛擬操作系統的時候需要用到他 Dvldr蠕蟲簡介他是一個利用windows 2000/NT弱口令的蠕蟲。該蠕蟲用所帶的字典暴力破解隨機生成的ip的機器，如果成功，則感染機器，並植入VNC修改版本，並向一個irc列表匯報已經感染主機的信息，同時繼續向其他機器感染。可以訪問鄭州大學網路安全園或者關於他更詳細的信息。一：安裝一個win2k pro，具體的安裝方法本文就省略了，打上所有的補丁，只留一個漏洞，就是dvldr蠕蟲需要的administrator的空密碼。二：安裝norton antivirus enterprise client，升級到最新的病毒庫，並啟動實時監控三：用cmdlog替換cmd.exe程序,把comlog101.zip解壓縮後有五個文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和readme.txt都是說明文件，md5.txt包含這五個文件的md5校驗和的值，我們可以使用md5sum.exe工具來檢測一下他們是否遭受修改：D:comlog101>md5sum.exe * md5sum.exe: .: Permission denied md5sum.exe: ..: Permission denied *cmd.exe *com101.pl *comlog.txt *md5.txt *md5sum.exe *README.TXT 把這些數字和md5.txt的數字對比，如果出現不一致，就證明程序遭受修改，請勿使用。

⑶ 蜜罐技術的工作原理

蜜罐的主要原理包括以下幾個方面:
第一,網路欺騙。
使入侵者相信存在有價值的、可利用的安全弱點,蜜罐的價值就是在其被探測、攻擊或者攻陷的時候得以體現,網路欺騙技術是蜜罐技術體系中最為關鍵的核心技術,常見的有模擬服務埠、模擬系統漏洞和應用服務、流量模擬等。

第二,數據捕獲。
一般分三層實現:最外層由防火牆來對出入蜜罐系統的網路連接進行日誌記錄;中間層由入侵檢測系統(IDS)來完成,抓取蜜罐系統內所有的網路包;最里層的由蜜罐主機來完成,捕獲蜜罐主機的所有系統日誌、用戶擊鍵序列和屏幕顯示。

第三,數據分析。
要從大量的網路數據中提取出攻擊行為的特徵和模型是相當困難的,數據分析是蜜罐技術中的難點,主要包括網路協議分析、網路行為分析、攻擊特徵分析和入侵報警等。數據分析對捕獲的各種攻擊數據進行融合與挖掘,分析黑客的工具、策略及動機,提取未知攻擊的特徵,或為研究或管理人員提供實時信息。

第四,數據控制。
數據控制是蜜罐的核心功能之一,用於保障蜜罐自身的安全。蜜罐作為網路攻擊者的攻擊目標,若被攻破將得不到任何有價值的信息,還可能被入侵者利用作為攻擊其他系統的跳板。雖然允許所有對蜜罐的訪問,但卻要對從蜜罐外出的網路連接進行控制,使其不會成為入侵者的跳板危害其他系統。

首先我們要弄清楚一台蜜罐和一台沒有任何防範措施的計算機的區別，雖然這兩者都有可能被入侵破壞，但是本質卻完全不同，蜜罐是網路管理員經過周密布置而設下的「黑匣子」，看似漏洞百出卻盡在掌握之中，它收集的入侵數據十分有價值;而後者，根本就是送給入侵者的禮物，即使被入侵也不一定查得到痕跡……因此，蜜罐的定義是:「蜜罐是一個安全資源，它的價值在於被探測、攻擊和損害。」
設計蜜罐的初衷就是讓黑客入侵，藉此收集證據，同時隱藏真實的伺服器地址，因此我們要求一台合格的蜜罐擁有這些功能:發現攻擊、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成，那就是在必要時候根據蜜罐收集的證據來起訴入侵者。

⑷ 【網路安全】蜜罐技術是什麼有哪些作用

在學習網路安全過程中，大家肯定接觸過很多既陌生又熟悉的詞彙，比如蜜罐。蜜罐是學習網路安全不可不知的一個詞，那麼網路安全中蜜罐是什麼意思?我通過這篇文章為大家詳細介紹一下。

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網路服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地了解他們所面對的安全威脅，並通過技術和管理手段來增強實際系統的安全防護能力。

蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵後，你就可以知道他是如何得逞的，隨時了解針對伺服器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，並且掌握他們的社交網路。

蜜罐的一大優點就是設置簡單，只需在網際網路上有一台沒有打補丁的計算機就可以，黑客在入侵計算機獲取日誌和審查功能時，通過在網路和計算機之間安置的網路監控系統就能以合理的方式記錄下黑客的行動，同時盡量減小和排除對其它系統造成風險，如：建立在反向防火牆後面的蜜罐，其目的不是防止入站連接，而是防止蜜罐建立的出站連接。雖然這種方法使蜜罐不會破壞其它系統，但同時很容易被黑客發現。

實際應用中，可以把蜜罐設置在與公司Web或郵件伺服器相鄰的IP地址上，就可以了解到所遭受到的攻擊。

要注意的是，如果攻擊者辨別出用戶設置了蜜罐，就有可能在不被發覺的情況下，潛入用戶所在的系統，一旦被攻陷，就會攻擊、潛入或危害其它關聯系統。

不過，現在蜜罐也可以使用虛擬系統設置，一台主機上可以運行4-10台虛擬計算機，此舉可以大大降低蜜罐的設置成本，機器佔用及管理難度。而且虛擬系統還支持懸掛和恢復功能，這樣就可以在發現攻擊時凍結計算機，分析其攻擊方法，然後打開TCP/IP連接及系統上面的其它服務。

⑸ 蜜罐技術的設置蜜罐

設置蜜罐並不難，只要在外部網際網路上有一台計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因為黑客可能會設陷阱，以獲取計算機的日誌和審查功能，你就要在計算機和網際網路連接之間安置一套網路監控系統，以便悄悄記錄下進出計算機的所有流量。然後只要坐下來，等待攻擊者自投羅網。
不過，設置蜜罐並不是說沒有風險。這是因為，大部分安全遭到危及的系統會被黑客用來攻擊其它系統。這就是下游責任（downstream liability），由此引出了蜜網（honeynet）這一話題。

⑹ 蜜罐技術的簡介

首先我們要弄清楚一台蜜罐和一台沒有任何防範措施的計算機的區別，雖然這兩者都有可能被入侵破壞，但是本質卻完全不同，蜜罐是網路管理員經過周密布置而設下的「黑匣子」，看似漏洞百出卻盡在掌握之中，它收集的入侵數據十分有價值;而後者，根本就是送給入侵者的禮物，即使被入侵也不一定查得到痕跡……因此，蜜罐的定義是:「蜜罐是一個安全資源，它的價值在於被探測、攻擊和損害。」
設計蜜罐的初衷就是讓黑客入侵，藉此收集證據，同時隱藏真實的伺服器地址，因此我們要求一台合格的蜜罐擁有這些功能:發現攻擊、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成，那就是在必要時候根據蜜罐收集的證據來起訴入侵者。 蜜罐是用來給黑客入侵的，它必須提供一定的漏洞，但是我們也知道，很多漏洞都屬於「高危」級別，稍有不慎就會導致系統被滲透，一旦蜜罐被破壞，入侵者要做的事情是管理員無法預料的，例如，一個入侵者成功進入了一台蜜罐，並且用它做「跳板」(指入侵者遠程式控制制一台或多台被入侵的計算機對別的計算機進行入侵行為)去攻擊別人，那麼這個損失由誰來負責?設置一台蜜罐必須面對三個問題:設陷技術、隱私、責任。
設陷技術關繫到設置這台蜜罐的管理員的技術，一台設置不周全或者隱蔽性不夠的蜜罐會被入侵者輕易識破或者破壞，由此導致的後果將十分嚴重。
由於蜜罐屬於記錄設備，所以它有可能會牽涉到隱私權問題，如果一個企業的管理員惡意設計一台蜜罐用於收集公司員工的活動數據，或者偷偷攔截記錄公司網路通訊信息，這樣的蜜罐就已經涉及法律問題了。
對於管理員而言，最倒霉的事情就是蜜罐被入侵者成功破壞了。有人也許會認為，既然蜜罐是故意設計來「犧牲」的，那麼它被破壞當然合情合理，用不著小題大做吧。對，蜜罐的確是用來「受虐」的，但是它同時也是一台連接網路的計算機，如果你做的一台蜜罐被入侵者攻破並「借」來對某大學伺服器進行攻擊，因此引發的損失恐怕只能由你來承擔了。還有一些責任是誰也說不清的，例如，你做的一台蜜罐不幸引來了Slammer、Sasser、Blaster等大名鼎鼎的「爬蟲類」病毒而成了傳播源之一，那麼這個責任誰來負擔? 世界上不會有非常全面的事物，蜜罐也一樣。根據管理員的需要，蜜罐的系統和漏洞設置要求也不盡相同，蜜罐是有針對性的，而不是盲目設置來無聊的，因此，就產生了多種多樣的蜜罐……
3.1.實系統蜜罐
實系統蜜罐是最真實的蜜罐，它運行著真實的系統，並且帶著真實可入侵的漏洞，屬於最危險的漏洞，但是它記錄下的入侵信息往往是最真實的。這種蜜罐安裝的系統一般都是最初的，沒有任何SP補丁，或者打了低版本SP補丁，根據管理員需要，也可能補上了一些漏洞，只要值得研究的漏洞還存在即可。然後把蜜罐連接上網路，根據目前的網路掃描頻繁度來看，這樣的蜜罐很快就能吸引到目標並接受攻擊，系統運行著的記錄程序會記下入侵者的一舉一動，但同時它也是最危險的，因為入侵者每一個入侵都會引起系統真實的反應，例如被溢出、滲透、奪取許可權等。
3.2.偽系統蜜罐
什麼叫偽系統呢?不要誤解成「假的系統」，它也是建立在真實系統基礎上的，但是它最大的特點就是「平台與漏洞非對稱性」。
大家應該都知道，世界上操作系統不是只有Windows一家而已，在這個領域，還有Linux、Unix、OS2、BeOS等，它們的核心不同，因此會產生的漏洞缺陷也就不盡相同，簡單的說，就是很少有能同時攻擊幾種系統的漏洞代碼，也許你用LSASS溢出漏洞能拿到Windows的許可權，但是用同樣的手法去溢出Linux只能徒勞。根據這種特性，就產生了「偽系統蜜罐」，它利用一些工具程序強大的模仿能力，偽造出不屬於自己平台的「漏洞」，入侵這樣的「漏洞」，只能是在一個程序框架里打轉，即使成功「滲透」，也仍然是程序製造的夢境——系統本來就沒有讓這種漏洞成立的條件，談何「滲透」?實現一個「偽系統」並不困難，Windows平台下的一些虛擬機程序、Linux自身的腳本功能加上第三方工具就能輕松實現，甚至在Linux/Unix下還能實時由管理員產生一些根本不存在的「漏洞」，讓入侵者自以為得逞的在裡面瞎忙。實現跟蹤記錄也很容易，只要在後台開著相應的記錄程序即可。
這種蜜罐的好處在於，它可以最大程度防止被入侵者破壞，也能模擬不存在的漏洞，甚至可以讓一些Windows蠕蟲攻擊Linux——只要你模擬出符合條件的Windows特徵!但是它也存在壞處，因為一個聰明的入侵者只要經過幾個回合就會識破偽裝，另者，編寫腳本不是很簡便的事情，除非那個管理員很有耐心或者十分悠閑。 既然蜜罐不是隨隨便便做來玩的，管理員自然就不會做個蜜罐然後讓它賦閑在家，那麼蜜罐做來到底怎麼用呢?
4.1.迷惑入侵者，保護伺服器
一般的客戶/伺服器模式里，瀏覽者是直接與網站伺服器連接的，換句話說，整個網站伺服器都暴露在入侵者面前，如果伺服器安全措施不夠，那麼整個網站數據都有可能被入侵者輕易毀滅。但是如果在客戶/伺服器模式里嵌入蜜罐，讓蜜罐作為伺服器角色，真正的網站伺服器作為一個內部網路在蜜罐上做網路埠映射，這樣可以把網站的安全系數提高，入侵者即使滲透了位於外部的「伺服器」，他也得不到任何有價值的資料，因為他入侵的是蜜罐而已。雖然入侵者可以在蜜罐的基礎上跳進內部網路，但那要比直接攻下一台外部伺服器復雜得多，許多水平不足的入侵者只能望而卻步。蜜罐也許會被破壞，可是不要忘記了，蜜罐本來就是被破壞的角色。
在這種用途上，蜜罐不能再設計得漏洞百出了。蜜罐既然成了內部伺服器的保護層，就必須要求它自身足夠堅固，否則，整個網站都要拱手送人了。
4.2.抵禦入侵者，加固伺服器
入侵與防範一直都是熱點問題，而在其間插入一個蜜罐環節將會使防範變得有趣，這台蜜罐被設置得與內部網路伺服器一樣，當一個入侵者費盡力氣入侵了這台蜜罐的時候，管理員已經收集到足夠的攻擊數據來加固真實的伺服器。
採用這個策略去布置蜜罐，需要管理員配合監視，否則入侵者攻破了第一台，就有第二台接著承受攻擊了……
4.3.誘捕網路罪犯
這是一個相當有趣的應用，當管理員發現一個普通的客戶/伺服器模式網站伺服器已經犧牲成肉雞的時候，如果技術能力允許，管理員會迅速修復伺服器。那麼下次呢?既然入侵者已經確信自己把該伺服器做成了肉雞，他下次必然還會來查看戰果，難道就這樣任由他放肆?一些企業的管理員不會罷休，他們會設置一個蜜罐模擬出已經被入侵的狀態，做起了姜太公。同樣，一些企業為了查找惡意入侵者，也會故意設置一些有不明顯漏洞的蜜罐，讓入侵者在不起疑心的情況下乖乖被記錄下一切行動證據，有些人把此戲稱為「監獄機」，通過與電信局的配合，可以輕易揪出IP源頭的那雙黑手。

⑺ 關於網路中所說的密罐是什麼意思

1．蜜罐的定義。關於蜜罐，到目前為止還沒有一個完整的定義。「蜜網項目組」的創始人Lance Spitzner對蜜罐給出了一個比較權威的定義：蜜罐是一種安全資源，其價值在於被掃描、攻擊和攻陷。這個定義表明蜜罐並沒有其他的實際作用，所有流人和流出蜜罐的網路流量都可能預示著掃描、攻擊和攻陷。而蜜罐的核心價值就在於對這些攻擊活動進行監視、檢測和分析。實際上，蜜罐中只有一些虛假的敏感數據，不用於對外的正常服務。所以，它可以是一個網路、一台主機、一項服務，也可以是資料庫中的某些無用的數據或者偽裝的用戶名及其弱口令等，因此任何與它交互的行為都可以被認為是攻擊行為，這樣就簡化了檢測過程，它可以部署在各個內部子網或關鍵主機上，檢測來自網路系統外部和內部的各種攻擊，用一種以檢測、監視和捕獲攻擊行為和保護真實主機為目標的誘騙技術。
2．蜜罐的基本原理。蜜罐系統是一個陷阱系統，它通過設置一個具有很多漏洞的系統吸引黑客入侵，收集入侵者信息，為其他安全技術提供更多的知識。蜜罐採用監視器和事件日誌兩個工具對訪問蜜罐系統的行為進行監控。由於蜜罐是一個很具有誘惑力的系統，能夠分散黑客的注意力和精力，所以對真正的網路資源起到保護作用。
3．蜜罐的主要技術。蜜罐系統主要涉及網路欺騙技術、數據捕獲技術、數據控制技術p湍1：3重定向)、攻擊分析與特徵提取等主要技術。(1)網路欺騙技術：是蜜罐的核心技術，利用各種欺騙手段和安全弱點和系統漏洞，引誘黑客的攻擊。(2)數據捕獲技術：主要目的是盡可能多的捕獲攻擊信息，而不被黑客發現，包括輸入、輸出及鍵盤和屏幕的捕獲。(3)數據控制技術：主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統或危害別的主機，因此必須控制進出系統的數據流量而不被黑客懷疑。(4)攻擊分析與特徵提取：蜜罐系統設置一個數據分析模塊，在同一控制台對收集到的所有信息進行分析、綜合和關聯，完成對蜜罐攻擊信息的分析。

⑻ 蜜罐的發展歷程和目前的主流分類有哪些

蜜罐技術的發展歷程
從九十年代初蜜罐概念的提出直到1998 年左右，「蜜罐」還僅僅限於一種思想，通常由網路管理人員應用，通過欺騙黑客達到追蹤的目的。這一階段的蜜罐實質上是一些真正被黑客所攻擊的主機和系統。從1998 年開始，蜜罐技術開始吸引了一些安全研究人員的注意，並開發出一些專門用於欺騙黑客的開源工具，如Fred Cohen 所開發的DTK（欺騙工具包）、Niels Provos 開發的Honeyd 等，同時也出現了像KFSensor、Specter 等一些商業蜜罐產品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網路服務，並對黑客的攻擊行為做出回應，從而欺騙黑客。
虛擬蜜罐工具的出現也使得部署蜜罐也變得比較方便。但是由於虛擬蜜罐工具存在著交互程度低，較容易被黑客識別等問題，從2000年之後，安全研究人員更傾向於使用真實的主機、操作系統和應用程序搭建蜜罐，但與之前不同的是，融入了更強大的數據捕獲、數據分析和數據控制的工具，並且將蜜罐納入到一個完整的蜜網體系中，使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客，並對他們的攻擊行為進行分析。

、蜜罐的分類
世界上不會有非常全面的事物，蜜罐也一樣。根據管理員的需要，蜜罐的系統和漏洞設置要求也不盡相同，蜜罐是有針對性的，而不是盲目設置的，因此，就產生了多種多樣的蜜罐……根據蜜罐與攻擊者的交互程度，可以分為三類：低交互蜜罐、中交互蜜罐及高交互蜜罐。
1、低交互蜜罐
低交互蜜罐最大的特點是模擬（設計簡單且功能有限，安裝配置和維護都很容易）。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統，而是對各種系統及其提供的服務的模擬。由於它的服務都是模擬的行為，所以蜜罐可以獲得的信息非常有限，只能對攻擊者進行簡單的應答，它是最安全的蜜罐類型。
這種蜜罐沒有真實的操作系統，它的價值主要在於檢測，也就是對未授權掃描或者未授權連接嘗試的檢測。他只提供了有限的功能，因此大部分可以用一個程序來模擬。只需將該程序安裝在一台主機系統中，配置管理希望提供的服務就可以了，管理員所要做的工作就是維護程序的補丁並監視所有的預警機制。這種蜜罐所提供的功能少，出錯少，風險低，同時它能夠為我們提供的關於攻擊者的信息量也有限，只能捕獲已知的攻擊行為，並且以一種預定的方式進行響應，這樣容易被攻擊者識破，不管模擬服務做得多好，技術高明的黑客最終都能檢測到他的存在。
2、中交互蜜罐
中交互蜜罐是對真正的操作系統的各種行為的模擬，它提供了更多的交互信息，同時也可以從攻擊者的行為中獲得更多的信息，與低交互蜜罐相比，它的部署和維護更為復雜。在這個模擬行為的系統中，蜜罐可以看起來和一個真正的操作系統沒有區別，攻擊者可以得到更多的交互。它們是比真正系統還要誘人的攻擊目標，因此必須要以一個安全的方式來部署這種交互。必須開發相應的機制以確保攻擊者不會危害其他系統，並且這種增加的功能不會成為攻擊者進行攻擊的易受攻擊環節。攻擊者可能會訪問到實際操作系統，但他們的能力是受限的，這種類型的蜜罐必須要進行日常維護，以應對新的攻擊。由於它具有較大的復雜度，所以出錯的風險也相應的增大，另一方面他可以收集到更多攻擊者的信息。
3、高交互蜜罐
高交互蜜罐具有一個真實的操作系統，它的優點體現在對攻擊者提供真實的系統，當攻擊者獲得ROOT許可權後，受系統數據真實性的迷惑，他的更多活動和行為將被記錄下來。缺點是被攻擊的可能性很高，如果整個高交互蜜罐被攻擊，那麼它就會成為攻擊者下一步攻擊的跳板，構建和維護它們是極為耗時的。目前在國內外的主要蜜罐產品有DTK，空系統，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四種。
最為常見的高交互蜜罐往往被放置在一種受控環境中，如防火牆之後。藉助於這些訪問控制設備來控制攻擊者使用該蜜罐啟動對外的攻擊。這種架構的部署和維護十分的復雜，而且這種類型的蜜罐還要求對防火牆有一個恰當的過濾規則庫。同時還要求配合IDS的功能，要求IDS的簽名資料庫進行更新，且要不停監視蜜罐的活動。它為攻擊提供的交互越多出錯的地方就越多。一旦進行了正確的實現，高交互度的蜜罐就能夠最大程度的洞察攻擊者。例如想在一個Linux蜜罐上運行一個FTP伺服器，那麼你見里一個真正的Linux系統來運行FTP服務。這種解決方案優勢是雙重的，首先，你能夠捕獲大量信息。這可以通過給攻擊者提供真實的系統與之交互來實現，你能夠了解到攻擊者的整個攻擊行為，從新的工具包到IRC的會話的整個過程。高交互的第二個優勢是對攻擊者如何攻擊不是假設，它們提供一個能夠捕獲行為的開放的環境，高交互度解決方法將使得我們能學到以外的攻擊行為，例如：一個蜜罐在一個非標準的IP協議上捕獲密碼後門命令。然而，這也增加了蜜罐的風險，因為攻擊者能夠用這些真實的操作系統來攻擊非蜜罐系統。結果，要採用附加技術來組織對非蜜罐系統的攻擊。高交互蜜罐雖然優於前兩種交互蜜罐，但是開發和維護過於復雜。

⑼ 蜜罐技術的蜜網

蜜網是指另外採用了技術的蜜罐，從而以合理方式記錄下黑客的行動，同時盡量減小或排除對網際網路上其它系統造成的風險。建立在反向防火牆後面的蜜罐就是一個例子。防火牆的目的不是防止入站連接，而是防止蜜罐建立出站連接。不過，雖然這種方法使蜜罐不會破壞其它系統，但同時很容易被黑客發現。

⑽ 蜜罐技術的技術解析

《特洛伊》里龐大的希臘艦隊、《終結者2》里隨意改變形體的「液體金屬」、《侏羅紀公園》里滿地亂跑的恐龍們、《黑客帝國》里的「子彈時間」…… 隨著計算機技術的不斷發展，越來越多的電腦特技被應用在電影領域，不需要工資的虛擬演員不知辛勞地日夜工作，這些電腦技術使得導演可以構思現實中不可能存在的情節環境，也減少了影片開支。但是，在計算機的信息安全領域里，網路管理員要面對的是黑客真槍實乾的入侵破壞，難道在電腦技術大量應用的今天，安全領域卻得不到一點援助?答案是有的，它就是在安全領域里代替網路管理員上陣的「虛擬演員」——蜜罐技術。
蜜罐，或稱Honeypot，與應用於電影的特技相比，它並不神秘——所謂蜜罐，就是一台不作任何安全防範措施而且連接網路的計算機，但是與一般計算機不同，它內部運行著多種多樣的數據記錄程序和特殊用途的「自我暴露程序」——要誘惑貪嘴的黑熊上鉤，蜂蜜自然是不可少的。在入侵者的角度來看，入侵到蜜罐會使他們的心情大起大落——從一開始偷著樂罵管理員傻帽到最後明白自己被傻帽當成猴子耍的過程。 《終結者2》里阿諾讓約翰把自己放入熔爐，《特洛伊》里Achilles被王子射殺，戰爭片里的機槍掃射，甚至《黑衣人》里外星人發射的核彈毀滅了北極!如果這一切是真實的話，我們的明星已經成為牆上的照片了，拍一部片要死多少人?況且，我們只有一個地球，值得為了一部影片炸掉某個地區?所以人們必須採用電腦特技完成這些不能真實發生的劇情。同樣，管理員也不會為了記錄入侵情況而讓入侵者肆意進入伺服器搞破壞，所以蜜罐出現了。
前面說過了，蜜罐是一台存在多種漏洞的計算機，而且管理員清楚它身上有多少個漏洞，這就像狙擊手為了試探敵方狙擊手的實力而用槍支撐起的鋼盔，蜜罐被入侵而記錄下入侵者的一舉一動，是為了管理員能更好的分析廣大入侵者都喜歡往哪個洞里鑽，今後才能加強防禦。
另一方面是因為防火牆的局限性和脆弱性，因為防火牆必須建立在基於已知危險的規則體繫上進行防禦，如果入侵者發動新形式的攻擊，防火牆沒有相對應的規則去處理，這個防火牆就形同虛設了，防火牆保護的系統也會遭到破壞，因此技術員需要蜜罐來記錄入侵者的行動和入侵數據，必要時給防火牆添加新規則或者手工防禦。 既然使用蜜罐能有那麼多好處，那麼大家都在自己家裡做個蜜罐，豈不是能最大程度防範黑客?有這個想法的讀者請就此打住!蜜罐雖然在一定程度上能幫管理員解決分析問題，但它並不是防火牆，相反地，它是個危險的入侵記錄系統。蜜罐被狡猾的入侵者反利用來攻擊別人的例子也屢見不鮮，只要管理員在某個設置上出現錯誤，蜜罐就成了打狗的肉包子。而一般的家庭用戶電腦水平不可能達到專業水平，讓他們做蜜罐反而會引火燒身——蜜罐看似簡單，實際卻很復雜。雖然蜜罐要做好隨時犧牲的准備，可是如果它到最後都沒能記錄到入侵數據，那麼這台蜜罐根本就是純粹等著挨宰的肉雞了，蜜罐就復雜在此，它自身需要提供讓入侵者樂意停留的漏洞，又要確保後台記錄能正常而且隱蔽的運行，這些都需要專業技術，如果蜜罐能隨便做出來，我們在家裡也能拍攝《黑客帝國》了——故意開著漏洞卻沒有完善的記錄處理環境的伺服器不能稱為蜜罐，它只能是肉雞。