跳转至

名字解释

蜜罐

  • 容器化部署、全平台高交互蜜罐
  • 仿真业务、协议等、吸引黑客攻击
  • 对攻击行为进行捕获和分析、了解攻击方所使用的工具与方法
  • 推测攻击意图和动机

蜜网

  • 是一种新型的蜜罐系统架构、通过将蜜罐集中的部署在一个受控的蜜网中、统一的进行数据分析和产生告警、而在真实的生产网络区域中仅仅部署一些轻量级的重定向模块、探针会通过监听相应的端口、将自己伪装成一个蜜罐,当探针受到攻击后会透明的将攻击流量转发到蜜场的蜜罐中。

探针

  • 应用服务器、是黑客的第一道攻击入口

密签

  • 定位攻击者 数据、文件、程序里加入特定标记,识别数据泄露,支持文件密签、邮件密签、图片密签、DNS密签、git密签、sql密签等。比如,一个Word文档或是一个Windows文件夹对于大部分人来说是无害的,安全的,我们利用了它们的一些可访问网络资源的特性,改造成密签,当有黑客从被攻击的服务器或蜜罐中下载后打开文档或者是进入文件夹的时候就会触发告警。

诱饵

  • 诱惑攻击者 用于迷惑攻击者的数据包括文件、数据库、配置、日志、代码等信息,诱使攻击者对密罐进行攻击。

Agent

  • 攻击流量透明转发 agent通过绑定转发仿真服务蜜罐,将TCP、UDP、ICMP、SYN等类型的攻击流量透明、无感知的被转发到蜜网中的蜜罐里,此时的蜜罐可以捕获攻击者多种操作行为,同时发现新的攻击方式和漏洞利用方法
  • 诱饵、密签下发 agent接收下发策略,把策略管控端的诱饵、密签下发到服务器,诱捕引导黑客攻击到蜜网的蜜罐

协议转发

  • 协议代理转发 agent通过绑定转发仿真服务蜜罐,攻击者的攻击流量将会通过对应的网络协议(比如HTTP、SSH等)被转发到蜜网中的蜜罐里,此时的转发代理可以实时获取攻击命令、目录爆破探测、登录爆破、ssh异常连接等攻击行为

透明转发

  • 探针服务器到蜜网服务器的端口转发

最后更新: 2021年6月30日
Back to top