2017.W37 - Honeypot (蜜罐) > 人生好難 連颱風都來個大曲球 ## 前言 ## 接下來幾篇文章 應該都會介紹如何 '防禦' 駭客入侵 防禦的意思不是完美的阻擋駭客入侵 而是任何有效的避免下一次入侵的方法 ## 內容 ## Honeypot (蜜罐) [0] 在資訊安全中算是一個有趣的分類 他的目的不在於避免、阻擋駭客入侵 而是捕捉駭客入侵的一種手段 捕捉入侵的意思包含著： 1- 前期攻擊的偵測行為 2- 實際攻擊的手法 3- 攻擊者資訊 為了有效捕捉 通常蜜罐會被設計成具有漏洞、高度價值的系統 像是低安全性的密碼、具有漏洞版本的軟體、網域或郵件伺服器等 就特性來分類 蜜罐可以分成：低互動 (Low-Interaction) 跟高互動 (High-Interaction) 兩種 兩種分別代表系統本身跟真實系統的相似程度 以一個 SSH Honeypot 為例 低互動代表著可以做 SSH Handshack 但無法真正登入、底層沒有相對應的檔案系統 高互動代表著跟一個正常的 SSH 服務一致 有檔案系統、(受限制的) 指令操作等 但是高互動也代表著讓攻擊者擁有相當能力做更多的事情 而高互動蜜罐到了極致 則是一個完整的系統 (但沒有有用的資料、跟實際系統隔離) 當攻擊者成功入侵之後 很有機會再拿來做惡意用途 一個低互動的蜜罐 容易遭到入侵者的懷疑而停止攻擊 高互動的蜜罐則需要思考如何完整紀錄整個攻擊手法 當入侵者進入到系統之後 則代表著擁有足夠的權限操作系統 (低權限的情況 攻擊者會試圖提權) 這也代表著入侵者完全可以抹除入侵的紀錄 [1] 在資安領域中 數位鑑識 (Forensics)[2] 跟匿蹤是相對的技術 在高互動的蜜罐就需要思考 如何保留數位足跡與數位指紋 [0]: https://zh.wikipedia.org/wiki/蜜罐_(電腦科學) [1]: https://www.hackingloops.com/how-to-remove-traces-make-your-computer-untraceable/ [2]: https://zh.wikipedia.org/wiki/數位鑑識 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1505233436.A.22D.html