蜜罐怎么搭建技术

⑴ 蜜罐技术

如果通过某种方式知道有一个IP在对计算机发起攻击，想要封掉这个IP，或希望关闭一个不必要的危险端口，可以通过个人防火墙来实现。（书中举例了使用<诺顿个人防火墙>）

入侵检测系统能够对网络和系统的活动情况进行监视，及时发现并报告异常现象。但是，入侵检测系统在使用中存在着难以检测新类型黑客攻击方法，可能漏报和误报的问题。

蜜罐使这些问题有望得到进一步的解决，通过观察和记录黑客在蜜罐上的活动，人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。如果将蜜罐采集的信息与IDS采集的信息联系起来，则有可能减少IDS的漏报和误报，并能用于进一步改进IDS的设计，增强IDS的检测能力。

对攻击行为进行追踪属于主动式的事件分析技术。在攻击追踪方面，最常用的主动式事件分析技术是“蜜罐”技术。

蜜罐是当前最流行的一种陷阱及伪装手段，主要用于监视并探测潜在的攻击行为。蜜罐可以是伪装的服务器，也可以是伪装的主机。一台伪装的服务器可以模拟一个或多个网络服务，而伪装主机是一台有着伪装内容的正常主机，无论是伪装服务器还是伪装主机，与正常的服务器和主机相比，它们还具备监视的功能。

书中提到Trap Server.exe软件是一个常用的蜜罐软件。此软件是一个适用于Win95/98/Me/NT/2000/XP等系统的“蜜罐”，可以模拟很多不同的服务器，如ApacheHTTP Server和Microsoft IIS等

蜜罐的伪装水平取决于三点，即内容的可信性、内容的多样性和对系统平台的真实模拟。其中，内容的可信性是指当供给者获取信息时，在多大程度上、用多长时间能够吸引攻击者；内容的多样性是指应提供不同内容的文件来吸引攻击者；对系统平台的真实模拟是指蜜罐系统与被伪装的系统之间应采用相同的工作方式。在设计蜜罐的时候需要考虑下面一些问题：</br>
（1）蜜罐应当伪装的对象类型。</br>
（2）蜜罐应当为入侵者提供何种模式的工作窗口。</br>
（3）蜜罐应当工作在何种系统平台上。</br>
（4）应当部署的蜜罐数目。</br>
（5）蜜罐的网络部署方式。</br>
（6）蜜罐自身的安全性。</br>
（7）如何让蜜罐引人注意。</br>

由于蜜罐技术能够直接监视到入侵的行为过程，这对于掌握事件的行为机制以及了解攻击者的攻击意图都是非常有效的。根据蜜罐技术的这些功能特点，可以确定两个主要的应用场合。

（1）对于采用网络蠕虫机制自动进行攻击并在网上快速蔓延的事件，部署蜜罐可以迅速查明攻击的行为机理，从而提高事件的响应速度。</br>
（2）对于隐藏攻击行为，以渗透方式非法获取系统权限入侵系统的事件，部署蜜罐有助于查明攻击者的整个攻击行为机制，从而逆向追溯攻击源头。

要成功地部署并使用蜜罐技术还需要在实际应用过程中进行一系列的操作，其中涉及的主要内容如下。

⑵ 如何搭建蜜罐

搭建一个基于Unix系统的蜜罐网络相对说来需要比较多系统维护和网络安全知识的基础，但是做一个windows系统的蜜罐的门槛就比较低，今天我们就一起尝试搭建一个windows下的蜜罐系统。由于win和Unix系统不一样，我们很难使用有效的工具来完整的追踪入侵者的行为，因为win下有各式各样的远程管理软件(VNC,remote-anything)，而对于这些软件，大部分杀毒软件是不查杀他们的，而我们也没有象LIDS那样强大的工具来控制Administrator的权限，相对而言，蜜罐的风险稍微大了点，而且需要花更加多的时间和精力。先介绍一下我们需要的软件vpc Virtual pc，他是一个虚拟操作系统的软件，当然你也可以选择vmware. ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器 evtsys_exe.zip 一个把系统日志发送到log服务器的程序 comlog101.zip 一个用perl写的偷偷记录cmd.exe的程序，不会在进程列表中显示，因为入侵者运行的的确是cmd.exe :) Kiwi_Syslog_Daemon_7 一个很专业的日志服务器软件 norton antivirus enterprise client 我最喜欢的杀毒软件，支持win2k server。当然，如果你觉得其他的更加适合你，你有权选择 ethereal-setup-0.9.8.exe Ethereal的windows版本，Ethereal是*nix下一个很出名的sniffer，当然，如果你已经在你的honeynet中布置好了 sniffer,这个大可不必了，但是本文主要还是针对Dvldr 蠕虫的，而且ethereal的decode功能很强，用他来获取irc MSG很不错的 WinPcap_3_0_beta.exe ethereal需要他的支持。 md5sum.exe windows下用来进行md5sum校验的工具 windows 2000 professional的ISO镜象 用vpc虚拟操作系统的时候需要用到他 Dvldr蠕虫简介他是一个利用windows 2000/NT弱口令的蠕虫。该蠕虫用所带的字典暴力破解随机生成的ip的机器，如果成功，则感染机器，并植入VNC修改版本，并向一个irc列表汇报已经感染主机的信息，同时继续向其他机器感染。可以访问郑州大学网络安全园或者关于他更详细的信息。一：安装一个win2k pro，具体的安装方法本文就省略了，打上所有的补丁，只留一个漏洞，就是dvldr蠕虫需要的administrator的空密码。二：安装norton antivirus enterprise client，升级到最新的病毒库，并启动实时监控三：用cmdlog替换cmd.exe程序,把comlog101.zip解压缩后有五个文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和readme.txt都是说明文件，md5.txt包含这五个文件的md5校验和的值，我们可以使用md5sum.exe工具来检测一下他们是否遭受修改：D:comlog101>md5sum.exe * md5sum.exe: .: Permission denied md5sum.exe: ..: Permission denied *cmd.exe *com101.pl *comlog.txt *md5.txt *md5sum.exe *README.TXT 把这些数字和md5.txt的数字对比，如果出现不一致，就证明程序遭受修改，请勿使用。

⑶ 蜜罐技术的工作原理

蜜罐的主要原理包括以下几个方面:
第一,网络欺骗。
使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。

第二,数据捕获。
一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。

第三,数据分析。
要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。

第四,数据控制。
数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为网络攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的网络连接进行控制,使其不会成为入侵者的跳板危害其他系统。

首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

⑷ 【网络安全】蜜罐技术是什么有哪些作用

在学习网络安全过程中，大家肯定接触过很多既陌生又熟悉的词汇，比如蜜罐。蜜罐是学习网络安全不可不知的一个词，那么网络安全中蜜罐是什么意思?我通过这篇文章为大家详细介绍一下。

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

蜜罐的一大优点就是设置简单，只需在因特网上有一台没有打补丁的计算机就可以，黑客在入侵计算机获取日志和审查功能时，通过在网络和计算机之间安置的网络监控系统就能以合理的方式记录下黑客的行动，同时尽量减小和排除对其它系统造成风险，如：建立在反向防火墙后面的蜜罐，其目的不是防止入站连接，而是防止蜜罐建立的出站连接。虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。

实际应用中，可以把蜜罐设置在与公司Web或邮件服务器相邻的IP地址上，就可以了解到所遭受到的攻击。

要注意的是，如果攻击者辨别出用户设置了蜜罐，就有可能在不被发觉的情况下，潜入用户所在的系统，一旦被攻陷，就会攻击、潜入或危害其它关联系统。

不过，现在蜜罐也可以使用虚拟系统设置，一台主机上可以运行4-10台虚拟计算机，此举可以大大降低蜜罐的设置成本，机器占用及管理难度。而且虚拟系统还支持悬挂和恢复功能，这样就可以在发现攻击时冻结计算机，分析其攻击方法，然后打开TCP/IP连接及系统上面的其它服务。

⑸ 蜜罐技术的设置蜜罐

设置蜜罐并不难，只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，你就要在计算机和因特网连接之间安置一套网络监控系统，以便悄悄记录下进出计算机的所有流量。然后只要坐下来，等待攻击者自投罗网。
不过，设置蜜罐并不是说没有风险。这是因为，大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任（downstream liability），由此引出了蜜网（honeynet）这一话题。

⑹ 蜜罐技术的简介

首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的，例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人，那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。
由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。
对于管理员而言，最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为，既然蜜罐是故意设计来“牺牲”的，那么它被破坏当然合情合理，用不着小题大做吧。对，蜜罐的确是用来“受虐”的，但是它同时也是一台连接网络的计算机，如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击，因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的，例如，你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一，那么这个责任谁来负担? 世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生了多种多样的蜜罐……
3.1.实系统蜜罐
实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的，没有任何SP补丁，或者打了低版本SP补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络，根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。
3.2.伪系统蜜罐
什么叫伪系统呢?不要误解成“假的系统”，它也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”。
大家应该都知道，世界上操作系统不是只有Windows一家而已，在这个领域，还有Linux、Unix、OS2、BeOS等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同，简单的说，就是很少有能同时攻击几种系统的漏洞代码，也许你用LSASS溢出漏洞能拿到Windows的权限，但是用同样的手法去溢出Linux只能徒劳。根据这种特性，就产生了“伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的“漏洞”，只能是在一个程序框架里打转，即使成功“渗透”，也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件，谈何“渗透”?实现一个“伪系统”并不困难，Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现，甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”，让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。
这种蜜罐的好处在于，它可以最大程度防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破伪装，另者，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。 既然蜜罐不是随随便便做来玩的，管理员自然就不会做个蜜罐然后让它赋闲在家，那么蜜罐做来到底怎么用呢?
4.1.迷惑入侵者，保护服务器
一般的客户/服务器模式里，浏览者是直接与网站服务器连接的，换句话说，整个网站服务器都暴露在入侵者面前，如果服务器安全措施不够，那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐，让蜜罐作为服务器角色，真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射，这样可以把网站的安全系数提高，入侵者即使渗透了位于外部的“服务器”，他也得不到任何有价值的资料，因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络，但那要比直接攻下一台外部服务器复杂得多，许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏，可是不要忘记了，蜜罐本来就是被破坏的角色。
在这种用途上，蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层，就必须要求它自身足够坚固，否则，整个网站都要拱手送人了。
4.2.抵御入侵者，加固服务器
入侵与防范一直都是热点问题，而在其间插入一个蜜罐环节将会使防范变得有趣，这台蜜罐被设置得与内部网络服务器一样，当一个入侵者费尽力气入侵了这台蜜罐的时候，管理员已经收集到足够的攻击数据来加固真实的服务器。
采用这个策略去布置蜜罐，需要管理员配合监视，否则入侵者攻破了第一台，就有第二台接着承受攻击了……
4.3.诱捕网络罪犯
这是一个相当有趣的应用，当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候，如果技术能力允许，管理员会迅速修复服务器。那么下次呢?既然入侵者已经确信自己把该服务器做成了肉鸡，他下次必然还会来查看战果，难道就这样任由他放肆?一些企业的管理员不会罢休，他们会设置一个蜜罐模拟出已经被入侵的状态，做起了姜太公。同样，一些企业为了查找恶意入侵者，也会故意设置一些有不明显漏洞的蜜罐，让入侵者在不起疑心的情况下乖乖被记录下一切行动证据，有些人把此戏称为“监狱机”，通过与电信局的配合，可以轻易揪出IP源头的那双黑手。

⑺ 关于网络中所说的密罐是什么意思

1．蜜罐的定义。关于蜜罐，到目前为止还没有一个完整的定义。“蜜网项目组”的创始人Lance Spitzner对蜜罐给出了一个比较权威的定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并没有其他的实际作用，所有流人和流出蜜罐的网络流量都可能预示着扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。实际上，蜜罐中只有一些虚假的敏感数据，不用于对外的正常服务。所以，它可以是一个网络、一台主机、一项服务，也可以是数据库中的某些无用的数据或者伪装的用户名及其弱口令等，因此任何与它交互的行为都可以被认为是攻击行为，这样就简化了检测过程，它可以部署在各个内部子网或关键主机上，检测来自网络系统外部和内部的各种攻击，用一种以检测、监视和捕获攻击行为和保护真实主机为目标的诱骗技术。
2．蜜罐的基本原理。蜜罐系统是一个陷阱系统，它通过设置一个具有很多漏洞的系统吸引黑客入侵，收集入侵者信息，为其他安全技术提供更多的知识。蜜罐采用监视器和事件日志两个工具对访问蜜罐系统的行为进行监控。由于蜜罐是一个很具有诱惑力的系统，能够分散黑客的注意力和精力，所以对真正的网络资源起到保护作用。
3．蜜罐的主要技术。蜜罐系统主要涉及网络欺骗技术、数据捕获技术、数据控制技术p湍1：3重定向)、攻击分析与特征提取等主要技术。(1)网络欺骗技术：是蜜罐的核心技术，利用各种欺骗手段和安全弱点和系统漏洞，引诱黑客的攻击。(2)数据捕获技术：主要目的是尽可能多的捕获攻击信息，而不被黑客发现，包括输入、输出及键盘和屏幕的捕获。(3)数据控制技术：主要目的是防止黑客将蜜罐作为跳板去攻击其他系统或危害别的主机，因此必须控制进出系统的数据流量而不被黑客怀疑。(4)攻击分析与特征提取：蜜罐系统设置一个数据分析模块，在同一控制台对收集到的所有信息进行分析、综合和关联，完成对蜜罐攻击信息的分析。

⑻ 蜜罐的发展历程和目前的主流分类有哪些

蜜罐技术的发展历程
从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客，并对他们的攻击行为进行分析。

、蜜罐的分类
世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置的，因此，就产生了多种多样的蜜罐……根据蜜罐与攻击者的交互程度，可以分为三类：低交互蜜罐、中交互蜜罐及高交互蜜罐。
1、低交互蜜罐
低交互蜜罐最大的特点是模拟（设计简单且功能有限，安装配置和维护都很容易）。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型。
这种蜜罐没有真实的操作系统，它的价值主要在于检测，也就是对未授权扫描或者未授权连接尝试的检测。他只提供了有限的功能，因此大部分可以用一个程序来模拟。只需将该程序安装在一台主机系统中，配置管理希望提供的服务就可以了，管理员所要做的工作就是维护程序的补丁并监视所有的预警机制。这种蜜罐所提供的功能少，出错少，风险低，同时它能够为我们提供的关于攻击者的信息量也有限，只能捕获已知的攻击行为，并且以一种预定的方式进行响应，这样容易被攻击者识破，不管模拟服务做得多好，技术高明的黑客最终都能检测到他的存在。
2、中交互蜜罐
中交互蜜罐是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息，与低交互蜜罐相比，它的部署和维护更为复杂。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别，攻击者可以得到更多的交互。它们是比真正系统还要诱人的攻击目标，因此必须要以一个安全的方式来部署这种交互。必须开发相应的机制以确保攻击者不会危害其他系统，并且这种增加的功能不会成为攻击者进行攻击的易受攻击环节。攻击者可能会访问到实际操作系统，但他们的能力是受限的，这种类型的蜜罐必须要进行日常维护，以应对新的攻击。由于它具有较大的复杂度，所以出错的风险也相应的增大，另一方面他可以收集到更多攻击者的信息。
3、高交互蜜罐
高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得ROOT权限后，受系统数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被攻击的可能性很高，如果整个高交互蜜罐被攻击，那么它就会成为攻击者下一步攻击的跳板，构建和维护它们是极为耗时的。目前在国内外的主要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。
最为常见的高交互蜜罐往往被放置在一种受控环境中，如防火墙之后。借助于这些访问控制设备来控制攻击者使用该蜜罐启动对外的攻击。这种架构的部署和维护十分的复杂，而且这种类型的蜜罐还要求对防火墙有一个恰当的过滤规则库。同时还要求配合IDS的功能，要求IDS的签名数据库进行更新，且要不停监视蜜罐的活动。它为攻击提供的交互越多出错的地方就越多。一旦进行了正确的实现，高交互度的蜜罐就能够最大程度的洞察攻击者。例如想在一个Linux蜜罐上运行一个FTP服务器，那么你见里一个真正的Linux系统来运行FTP服务。这种解决方案优势是双重的，首先，你能够捕获大量信息。这可以通过给攻击者提供真实的系统与之交互来实现，你能够了解到攻击者的整个攻击行为，从新的工具包到IRC的会话的整个过程。高交互的第二个优势是对攻击者如何攻击不是假设，它们提供一个能够捕获行为的开放的环境，高交互度解决方法将使得我们能学到以外的攻击行为，例如：一个蜜罐在一个非标准的IP协议上捕获密码后门命令。然而，这也增加了蜜罐的风险，因为攻击者能够用这些真实的操作系统来攻击非蜜罐系统。结果，要采用附加技术来组织对非蜜罐系统的攻击。高交互蜜罐虽然优于前两种交互蜜罐，但是开发和维护过于复杂。

⑼ 蜜罐技术的蜜网

蜜网是指另外采用了技术的蜜罐，从而以合理方式记录下黑客的行动，同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接，而是防止蜜罐建立出站连接。不过，虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。

⑽ 蜜罐技术的技术解析

《特洛伊》里庞大的希腊舰队、《终结者2》里随意改变形体的“液体金属”、《侏罗纪公园》里满地乱跑的恐龙们、《黑客帝国》里的“子弹时间”…… 随着计算机技术的不断发展，越来越多的电脑特技被应用在电影领域，不需要工资的虚拟演员不知辛劳地日夜工作，这些电脑技术使得导演可以构思现实中不可能存在的情节环境，也减少了影片开支。但是，在计算机的信息安全领域里，网络管理员要面对的是黑客真枪实干的入侵破坏，难道在电脑技术大量应用的今天，安全领域却得不到一点援助?答案是有的，它就是在安全领域里代替网络管理员上阵的“虚拟演员”——蜜罐技术。
蜜罐，或称Honeypot，与应用于电影的特技相比，它并不神秘——所谓蜜罐，就是一台不作任何安全防范措施而且连接网络的计算机，但是与一般计算机不同，它内部运行着多种多样的数据记录程序和特殊用途的“自我暴露程序”——要诱惑贪嘴的黑熊上钩，蜂蜜自然是不可少的。在入侵者的角度来看，入侵到蜜罐会使他们的心情大起大落——从一开始偷着乐骂管理员傻帽到最后明白自己被傻帽当成猴子耍的过程。 《终结者2》里阿诺让约翰把自己放入熔炉，《特洛伊》里Achilles被王子射杀，战争片里的机枪扫射，甚至《黑衣人》里外星人发射的核弹毁灭了北极!如果这一切是真实的话，我们的明星已经成为墙上的照片了，拍一部片要死多少人?况且，我们只有一个地球，值得为了一部影片炸掉某个地区?所以人们必须采用电脑特技完成这些不能真实发生的剧情。同样，管理员也不会为了记录入侵情况而让入侵者肆意进入服务器搞破坏，所以蜜罐出现了。
前面说过了，蜜罐是一台存在多种漏洞的计算机，而且管理员清楚它身上有多少个漏洞，这就像狙击手为了试探敌方狙击手的实力而用枪支撑起的钢盔，蜜罐被入侵而记录下入侵者的一举一动，是为了管理员能更好的分析广大入侵者都喜欢往哪个洞里钻，今后才能加强防御。
另一方面是因为防火墙的局限性和脆弱性，因为防火墙必须建立在基于已知危险的规则体系上进行防御，如果入侵者发动新形式的攻击，防火墙没有相对应的规则去处理，这个防火墙就形同虚设了，防火墙保护的系统也会遭到破坏，因此技术员需要蜜罐来记录入侵者的行动和入侵数据，必要时给防火墙添加新规则或者手工防御。 既然使用蜜罐能有那么多好处，那么大家都在自己家里做个蜜罐，岂不是能最大程度防范黑客?有这个想法的读者请就此打住!蜜罐虽然在一定程度上能帮管理员解决分析问题，但它并不是防火墙，相反地，它是个危险的入侵记录系统。蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜，只要管理员在某个设置上出现错误，蜜罐就成了打狗的肉包子。而一般的家庭用户电脑水平不可能达到专业水平，让他们做蜜罐反而会引火烧身——蜜罐看似简单，实际却很复杂。虽然蜜罐要做好随时牺牲的准备，可是如果它到最后都没能记录到入侵数据，那么这台蜜罐根本就是纯粹等着挨宰的肉鸡了，蜜罐就复杂在此，它自身需要提供让入侵者乐意停留的漏洞，又要确保后台记录能正常而且隐蔽的运行，这些都需要专业技术，如果蜜罐能随便做出来，我们在家里也能拍摄《黑客帝国》了——故意开着漏洞却没有完善的记录处理环境的服务器不能称为蜜罐，它只能是肉鸡。