诺威奇大学的本科生Bob Pelletier这学期在和我的独立研究项目中做了一些关于蜜罐的有趣的研究工作,他正在使用虚拟机构建一个工作的蜜罐系统。他非常友好地允许我在这里发表他的作品,作为正在进行的系列的一部分。像往常一样,我为新的背景做了一些小的修改,但下面的内容都是Bob自己写的。
* * *
恶意黑客(blackhats)不断试图破坏安全措施,以获得受保护的信息。为了更好地理解黑帽社区所使用的方法,一种新的工具被开发出来:蜜罐。
蜜罐的使用在安全领域引起了激烈的争论。许多人质疑这种制度的合法性和伦理性。本系列文章概述了围绕蜜罐的基本法律问题以及一些需要思考的伦理问题。
蜜罐是任何为被利用而设计的系统。这是一个广泛的定义,可以通过多种方式实现。有些蜜罐系统使用软件,有些使用实际的生产机,有些甚至使用虚拟机,如VMware。无论选择哪种蜜罐设计方法,其根本目标都是创建一个看似脆弱的系统。
蜜罐与其他易受攻击的计算机系统的不同之处在于它广泛的日志记录能力。系统通常包含至少四层日志记录以捕获攻击者的活动。攻击者访问的每一个文件,每一个连接,每一次击键都会被记录到一个安全的位置。
记录攻击者活动的好处是有机会了解黑帽社区的方法。了解攻击者常用的攻击方法和攻击工具,可以帮助安全专家设计新的防护措施。研究攻击趋势也可以帮助预测未来的攻击。兰斯·斯皮茨纳创立的蜜网项目证明了蜜罐作为研究工具的有效性。
蜜罐不仅用于研究,也用于生产。在公司内部实现一个蜜罐可以创建一种入侵检测系统。蜜罐的设计表明任何与系统的连接尝试都是未经授权的。这是因为正常的业务功能不使用蜜罐;只有攻击者才会试图使用系统。因此,蜜罐上的活动可以提醒组织攻击者的存在。从那里,公司可以关闭攻击者使用的安全漏洞,调查事件,并可能提出指控。
* * *
在本系列的下一篇文章中,Bob Pelletier (mailto: pelletib@norwich.edu)研究有关使用蜜罐的一些法律问题。
了解更多关于这个主题的信息
赛门铁克发布安全工具有个足球雷竞技app网络世界,05/12/03
Check Point深入挖掘数据包有个足球雷竞技app网络世界,05/12/03