您现在的位置: 
Honeypot顾名思义-—蜜罐,有了蜜罐我们就可以吸引来蜜蜂,同样在网络中应用Honeypot我们也可以吸引恶意攻击者,让他们现出原形,将其逐一歼灭。Honeypot模拟主机的弱点,故意将这些虚拟的弱点暴露在攻击者面前,然后监控这些虚拟弱点,等待攻击者上钩,通过这我们就可以以零代价的方式诱捕网络中的各路恶意攻击者。
端口浏览,攻击者的“探路石”
“苍蝇不叮无缝的蛋”不知这样比喻是否恰当,总之攻击者面对攻击目标,其也要首先找出他的弱点所在,也就是其可以实施攻击的漏洞。端口浏览是最常用的一种侦察方式,通过端口浏览攻击者就可以侦察到目标主机上哪些服务正在运行。如目前最普通的一种端口浏览工具就是通过执行“vanilla”的TCP端口浏览,攻击者发送一系列的SYN报文给目标主机的各个端口,如果端口处于开放状态,那么目标主机相应的就会回复“ACK/SYN”报文,如果是关闭的端口,就会回复“RST/ACK”报文,这样攻击者就可以很清楚的侦察到目标主机哪个端口处于开放状态。如下图所示:
同样,针对UDP端口,攻击者如果发送一个特定的UDP请求,也会导致目标主机的特定行为动作。如果该UDP端口处于开放状态,那么针对该UDP请求就会没有回应,如果该端口处于关闭状态,那么目标主机就会回复一个ICMP端口不可达的信息,同样,根据这些行为,攻击者也就很容易的判断出哪些UDP端口处于开放状态。
Honeypot的实现方式
如上文所述,通过端口浏览,攻击者可以很容易的就侦察到目标主机的实际情况,然后针对这些开放的端口随心所欲的展开攻击。Honeypot就是利用了攻击者端口浏览的侦察方式,虚拟的开放自己的一些重要敏感端口,如FTP、TELNET、SMTP等。攻击者发现目标主机开放了21、23、25端口,肯定会高兴的手舞足蹈,当他们针对这些端口施展平生所学的同时,也落入了我们的天罗地网。如下图所示:
在一台webserver服务器上,我们只开放了80等几个端口,但是通过Honeypot,我们模拟开放了21、23、25端口,当攻击者发送SYN报文探路时,这些Honeypot虚拟端口就会回复ACK/SYN报文,使攻击者误以为21、23、25端口都是处于开放状态。然后我们只要采取措施,监控21、23、25端口,正所谓“摆好八卦阵、单捉飞来将”,只要其一有异常,我们就可以追踪出攻击者的来历,及时将其隔离到我们的网络之外。
Honeypot使我们面对恶意攻击者不再是消极防御,我们也可以主动进攻,相信随着技术的发展就会有越来越多的攻击追踪检测手段,“魔高一尺,道高一仗”,恶意攻击者将无处可藏。
