蜜罐

特征：

1 其中重要的一点机器是虚假的，攻击者需要花费时间攻破。在这段时间内，系统管理员能够锁定攻击者同时保护真正的机器。

2 能够学习攻击者针对该服务的攻击技巧和利用代码。

3 一些蜜罐能够捕获恶意软件，利用代码等等，能够捕获攻击者的0day,同时可以帮助逆向工程师通过分析捕获的恶意软件来提高自身系统的安全性。

4 在内网中部署的蜜罐可以帮助你发现内网中其他机器可能存在的漏洞。

蜜罐是把双刃剑，如果不能正确的使用，有可能遭受更多的攻击，模拟服务的软件存在问题，也会产生新的漏洞。

分类

1．低交互式：低交互式模拟常规的服务，服务存在漏洞，但是模拟的这些漏洞无法被利用，开发和维护这种类型的蜜罐比较容易。

2．高交互式：高交互式使用的是真实的服务，有助于发现服务存在的新漏洞，同时能够记录所有的攻击，但是，部署困难、维护成本高，一旦服务上存在的漏洞被利用，容易引发新的安全问题。

3．粘性蜜罐(Tarpits)：这种类型的蜜罐，使用新的IP来生成新的虚拟机，模拟存在服务的漏洞，来做诱饵。因此攻击者会花费长时间来攻击，就有足够的时间来处理攻击，同时锁定攻击者。

还有其他类型的蜜罐，比如专门捕获恶意软件的，数据库漏洞利用程序和垃圾邮件等等。当部署两个或者两个以上蜜罐时可以称之为蜜网。

构成

   蜜罐系统的构成可以从逻辑模块以及功能模块两个方面来理解。

   1逻辑模块

           数据控制：数据控制技术是控制攻击者出入蜜网主机的活动，使其不会以蜜网主机为跳板攻击和危害互联网上其它的主机。

           数据捕获：数据捕获技术包括网络流量数据捕获以及主机上系统行为的捕获。网络流量数据的捕获结合网络入侵检测系统，配置相关敏感信息的检测规则，触发入侵检测规则时立即记录网络流量

           数据分析：数据分析技术基于数据捕获技术之上，把收集到的网络数据、主机行为数据保存于数据库当中。分析技术需要信息安全网络攻防研究基础、数据库设计基础。

   2功能模块

          主机监控：进程监控、文件监控、注册表监控、网络监控等，监控黑客入侵蜜罐系统后的一切操作，了解黑客入侵的目的。

          入侵检测：蜜罐系统的入侵检测模块可以准确的检测出黑客入侵蜜罐的攻击手段，对黑客的入侵过程进行详细的记录。

          攻击分析：分析主机监控以及入侵检测两个模块获得的数据。