| 对于Dionaea和Kippo这类低交互蜜罐机,部署好之后更新端口服务模拟脚本是非常有必要的,因为默认安装自带的端口服务模拟脚本已经严重滞后,几年前的nmap扫描器就已经默认集成了对这些蜜罐脚本的指纹识别功能,扫描可直接发现是蜜罐机。 |
| 由于蜜罐业务需要,低交互蜜罐机的一些服务模拟端口会替代这些服务原本的常用端口,比如用FTP模拟服务代替真实的FTP服务监听21端口,ssh模拟服务代替真实的ssh服务监听22端口等。但这些真实服务功能仍然还是需要的,一般会被改到一个好记的端口上,比如将FTP服务由原本21端口改为2121端口、SSH改为2222端口等。这些端口容易被入侵者所猜到。此外低交互蜜罐自带的管理服务一般也会指派一个固定的默认端口,如Dionaea FR默认使用8000端口等。所有这些端口都需要使用五位数随机端口,并做好记录。 |
| 蜜罐仅开放对外提供伪装服务的端口,关闭其他系统端口,转移和隐藏必要的管理端口。开放伪装服务端口时需要谨慎选择,防止出现开放的端口和操作系统指文不匹配的情况。 |
| 这里的Agent指的是蜜罐机里用于记录和处理入侵者操作的后台程序。目前针对常见的开源高交互蜜罐的Agent(如sebek)已有有完善的检测和规避手段。而对于自行开发的非开源Agent,也需要进程隐藏、驱动隐藏以及其他针对检测手段(挂钩检查、注入检查等)的隐藏等。 |
| 无论如何,蜜罐机还是会有一些和真实主机不同的行为,比如日志数据的实时发送和存储。对于通过网络发送监控数据的需要,可以搭建数据专用的隔离子网等方式避免流量层检测。 |
| 蜜墙指的就是蜜罐网络防火墙,用于限制蜜罐网络的主机向真实业务网络主机发起连接的机制。蜜墙的特征是“宽进严出”——允许自由连入,但对连出进行严格限制,包括IP/端口黑(白)名单、流量控制、连接数控制等。蜜墙的目的在于当蜜罐被攻破时,控制入侵者所能获得的情报、权限和资源。但入侵者反过来也可以通过这些限制来判断自己是否处在蜜罐网络内。为了尽量减少这种可能性,如果条件允许,应尽量不使用蜜墙。如果必须使用,建议根据实际需要配置蜜墙策略,在保证业务需要的前提下尽可能少限制,减少发现的可能性。 |
| 蜜罐主机为了用较少的主机资源实现尽可能大的攻击面,因此一般会配置多个IP地址或者多个网段。如果其中同一个蜜罐机的部分IP地址收到较大流量的扫描或攻击,导致其他IP地址的响应速度拖慢,则会暴露这个蜜罐机的IP地址。 |
| 对于伪装真实主机的高交互蜜罐,内容如果过于空洞是不正常的,应在其中构造仿真的实际使用痕迹,包括但不限于以下这些:开关机记录、远程登录记录、常用软件使用记录、网页浏览记录、桌面壁纸、邮件、文档、文件创建和修改时间等。应根据实际部署环境和需求有针对性地构造这些痕迹。举例来说,模拟办公机的蜜罐,应构造上班时间开机、下班时间关机、周末无开机记录的痕迹;而对于服务器蜜罐,则应构造长时间开机记录,并有随机的远程登录记录。 |
| 在一些蜜罐部署需求中,仅部署相互独立的蜜罐机无法满足需求,需要将多个蜜罐机组织在一起,组成一个(模拟的)业务网络,蜜罐之间有模拟的业务数据流,增强真实性。 |
