2001年
蜜罐 蜜网;
陷阱网络的设计与实现
多个陷阱机和一个远程管理控制台组成。
陷阱的种类:
1、系统级陷阱:真实的系统
2、 应用级陷阱:模拟或仿真的环境构建而成,针对具体网络环境和应用服务。
陷阱网络的设计与构造:
陷阱机通过创建一个内核套作为陷阱和系统内核的接口,使陷阱系统行为不能直接访问到内核,起到很好的隔离作用。陷阱机系统安装在主机的操作系统上,每个系统都有自己的网络接口。
//其实我认为这个是蜜罐+虚拟机的形式,或者就是蜜罐。
重点:可靠的日志保护机制/远程备份;监控程序的隐蔽性;稳定性;现场保护;保存工具副本
增加迷惑效果,吸引攻击者:
1、提供与真实系统类似的服务,但是采用假数据
2、选择陷阱机的安装位置,使其更易被发现,增强诱惑效果。
3、发送模拟流量,吸引攻击者
4、伪装漏洞
陷阱网络的应用:
通过重定向,将非法连接转接到陷阱机上面,进而进行监视。
一个陷阱网络环境的真实案例:
数据流程:正常服务区、陷阱区、IDS系统处于防火墙的内部,防火墙起动态分流的作用,收到IDS的反馈,并且将流量分流到陷阱机中,并且通过数据交互,使陷阱机模仿真实机器。
关键技术和难点:
1、如何模拟真实机器
2、陷阱机监控能力
3、自有日志的可靠性
4、(IDS)信息捕获手段:加密技术、包分片重组
5、各个组件之间的耦合
6、自身安全
