评《学神在手,天下我有》

作者:安山士

  关于蜜罐:
  首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹。因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”
  设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
  蜜罐又分为实系统蜜罐和伪系统蜜罐。
  实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的,没有任何SP补丁,或者打了低版本SP补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。
  而什么叫伪系统呢?不要误解成“假的系统”,它也是建立在真实系统基础上的,但是它最大的特点就是“平台与漏洞非对称性”。
  大家应该都知道,世界上操作系统不是只有Windows一家而已,在这个领域,还有Linux、Unix、OS2、BeOS等,它们的核心不同,因此会产生的漏洞缺陷也就不尽相同,简单的说,就是很少有能同时攻击几种系统的漏洞代码,也许你用LSASS溢出漏洞能拿到Windows的权限,但是用同样的手法去溢出Linux只能徒劳。根据这种特性,就产生了“伪系统蜜罐”,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的“漏洞”,入侵这样的“漏洞”,只能是在一个程序框架里打转,即使成功“渗透”,也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件,谈何“渗透”?实现一个“伪系统”并不困难,Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现,甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”,让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易,只要在后台开着相应的记录程序即可。
  这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的漏洞,甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。
  这里阿理设置的应该是实系统蜜罐吧。
3
[回复] [投诉] [不看TA的评论]
[1楼] 网友:萧瑟  发表时间:2020-06-03 11:00:19
真棒!!!超出我领域之外的知识增加了?
[2楼] 网友:卿卿  发表时间:2020-06-03 11:05:12
好厉害!
[3楼] 网友:今天梵迦罗被doi了吗  发表时间:2020-06-03 11:06:43
看起来我也觉得是实系统蜜罐
[4楼] 网友:清和  发表时间:2020-06-03 11:07:13
长知识了,谢谢科普
[5楼] 网友:安山士  发表时间:2020-06-03 11:07:28
啾一口岚岚
[6楼] 网友:今天梵迦罗被doi了吗  发表时间:2020-06-03 11:07:50
即使在文里面看到蜜罐我首先眼前出现了蜂巢型蜂蜜,蜜汁慢慢流下来,想恰一口(没救了)
[7楼] 网友:今天梵迦罗被doi了吗  发表时间:2020-06-03 11:08:52
反啾一口mua
[8楼] 网友:暮鸦  发表时间:2020-06-03 11:18:30
惊现大佬
[9楼] 网友:心之所向  发表时间:2020-06-04 10:41:32
大佬ddd
[10楼] 网友:琉璃  发表时间:2020-06-04 23:26:42
我不知道的知识增加了
[11楼] 网友:是非墨  发表时间:2020-06-13 20:45:43
谢谢科普