[閒聊] 2017.W37 - Honeypot (蜜罐)

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間7年前 (2017/09/13 00:23)推噓5(5推 0噓 6→)

留言11則, 6人參與討論串1/1

2017.W37 - Honeypot (蜜罐) > 人生好難連颱風都來個大曲球 ## 前言 ## 接下來幾篇文章應該都會介紹如何 '防禦' 駭客入侵防禦的意思不是完美的阻擋駭客入侵而是任何有效的避免下一次入侵的方法 ## 內容 ## Honeypot (蜜罐) [0] 在資訊安全中算是一個有趣的分類他的目的不在於避免、阻擋駭客入侵而是捕捉駭客入侵的一種手段捕捉入侵的意思包含著： 1- 前期攻擊的偵測行為 2- 實際攻擊的手法 3- 攻擊者資訊為了有效捕捉通常蜜罐會被設計成具有漏洞、高度價值的系統像是低安全性的密碼、具有漏洞版本的軟體、網域或郵件伺服器等就特性來分類蜜罐可以分成：低互動 (Low-Interaction) 跟高互動 (High-Interaction) 兩種兩種分別代表系統本身跟真實系統的相似程度以一個 SSH Honeypot 為例低互動代表著可以做 SSH Handshack 但無法真正登入、底層沒有相對應的檔案系統高互動代表著跟一個正常的 SSH 服務一致有檔案系統、(受限制的) 指令操作等但是高互動也代表著讓攻擊者擁有相當能力做更多的事情而高互動蜜罐到了極致則是一個完整的系統 (但沒有有用的資料、跟實際系統隔離) 當攻擊者成功入侵之後很有機會再拿來做惡意用途一個低互動的蜜罐容易遭到入侵者的懷疑而停止攻擊高互動的蜜罐則需要思考如何完整紀錄整個攻擊手法當入侵者進入到系統之後則代表著擁有足夠的權限操作系統 (低權限的情況攻擊者會試圖提權) 這也代表著入侵者完全可以抹除入侵的紀錄 [1] 在資安領域中數位鑑識 (Forensics)[2] 跟匿蹤是相對的技術在高互動的蜜罐就需要思考如何保留數位足跡與數位指紋 [0]: https://zh.wikipedia.org/wiki/蜜罐_(電腦科學) [1]: https://www.hackingloops.com/how-to-remove-traces-make-your-computer-untraceable/ [2]: https://zh.wikipedia.org/wiki/數位鑑識 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1505233436.A.22D.html