2017.W37 - Honeypot (蜜罐)
> 人生好难 连台风都来个大曲球
## 前言 ##
接下来几篇文章 应该都会介绍如何 '防御' 骇客入侵
防御的意思不是完美的阻挡骇客入侵 而是任何有效的避免下一次入侵的方法
## 内容 ##
Honeypot (蜜罐) [0] 在资讯安全中算是一个有趣的分类
他的目的不在于避免、阻挡骇客入侵 而是捕捉骇客入侵的一种手段
捕捉入侵的意思包含着:
1- 前期攻击的侦测行为
2- 实际攻击的手法
3- 攻击者资讯
为了有效捕捉 通常蜜罐会被设计成具有漏洞、高度价值的系统
像是低安全性的密码、具有漏洞版本的软件、网域或邮件服务器等
就特性来分类 蜜罐可以分成:低互动 (Low-Interaction) 跟高互动 (High-Interaction) 两种
两种分别代表系统本身跟真实系统的相似程度
以一个 SSH Honeypot 为例
低互动代表着可以做 SSH Handshack 但无法真正登入、底层没有相对应的档案系统
高互动代表着跟一个正常的 SSH 服务一致 有档案系统、(受限制的) 指令操作等
但是高互动也代表着让攻击者拥有相当能力做更多的事情
而高互动蜜罐到了极致 则是一个完整的系统 (但没有有用的资料、跟实际系统隔离)
当攻击者成功入侵之后 很有机会再拿来做恶意用途
一个低互动的蜜罐 容易遭到入侵者的怀疑而停止攻击
高互动的蜜罐则需要思考如何完整纪录整个攻击手法
当入侵者进入到系统之后 则代表着拥有足够的权限操作系统 (低权限的情况 攻击者会试图提权)
这也代表着入侵者完全可以抹除入侵的纪录 [1]
在资安领域中 数位鉴识 (Forensics)[2] 跟匿踪是相对的技术
在高互动的蜜罐就需要思考 如何保留数位足迹与数位指纹
[0]: https://zh.wikipedia.org/wiki/蜜罐_(电脑科学)
[1]: https://www.hackingloops.com/how-to-remove-traces-make-your-computer-untraceable/
[2]: https://zh.wikipedia.org/wiki/数位鉴识