web安全之蜜罐技术介绍

Admin 2020-05-31 87人围观 ,发现0个评论 web安全蜜罐

今天排查错误日志的时候,无意发现了一个恶意 IP 来攻击或爬取网站,希望能针对这些恶意 IP 进行屏蔽,找了公司对应的安全工程师,部分记录截取如下。在我提出疑问后,就后续方案又进行了一番线下沟通,同时也听到了今天文章主题要说的一个名词:蜜罐

web安全之蜜罐技术介绍 Web安全 第1张

一般来说云服务商(如:阿里云、腾讯云、亚马逊云...等)都会提供一些 WAF(Web Application Firewall) 服务,可供选择开启。图片中 AWS(Amazon Web Services) 提供的 Amazon reputation list 服务,即:AWS 作为全球最大的云服务商自己凭借经验和考核收集了一波的 IP黑名单池,托管的Web服务付费开启选项功能后,只要用户的 访问IP 命中那么对于的请求就会直接被 AWS 中断。

但道高一尺,魔高一丈,天网恢恢,终有疏漏呀...而且这类问题一旦暴露,必将是大问题。就像地铁安检,即使一个个检查,但总有遗漏,代码也是一样的。而且就算你不断的对自己写的代码进行漏洞勘诊修复,且不说能否扫到问题,但源源不断“坏人来袭”也会给机器带来极大的压力和带宽开销...那么办法来了

web安全之蜜罐技术介绍 Web安全 第2张

既然坏人躲不完,那么就自我暴露...引诱敌人来袭,一旦发现,立刻击毙。

什么是蜜罐技术

蜜罐就是:通过没有业务用途伪装技术对攻击者的主动诱捕,用来进行监视、检测、分析和溯源攻击行为。所有流经蜜罐的流量都可以定义为恶意流量(即,预示着攻击行为),从而可以针对性的对其进行详细的数据收集,进行预防隔离

总结就是:

手段:伪装技术作用:主动诱敌,进行数据收集目的:预防隔离危险

什么是蜜网

多个蜜罐通过网络链接在一起,从而形成一个大型的蜜罐网络,通过其中一部分主机对黑客进行入侵引诱,进行监测、观察入侵过程,一方面调查入侵者的来源,另一方面考察用于防护的安全措施是否有效。这种由多个蜜罐组成的模拟网络就称为蜜网

写在最后

同时还需要注意几个要点:

1.虽说:舍不得孩子,套不着狼...但要注意,进行诱敌的时候一定要保证:普通用户一定不会访问到,并且没有业务用途。可千万别把自己人给成功诱惑进去了。不然,这尼玛就猪队友了呀...2.塑造蜜罐的同时,可千万记得也要做好对应的告警...要是高频命中蜜罐就要及时检查是否真如要点1所说:成了猪队友3.诱敌归诱敌,可千万别让敌人深入腹部呀...一个不好可就:伤敌一千,自损八百4.诱敌行为可能会对组织造成声誉影响,因此实施之前要谨慎判断。这也是为什么强调诱敌的漏洞最好要没有业务用途...例如电商系统如果要是作死通过价格漏洞售卖商品,真被曝光被刷单时,用户可不会因为这是一个漏洞就原谅你的反悔行为。

一般来说简单的蜜罐是比较容易进行识别绕过的,而复杂的蜜罐技术通常是基于真实系统为基础进行构建的,如:基于虚拟文件系统和系统注册表信息、系统服务敏感信息伪装、特殊指令等。

由于自己也是刚了解,同时也不专业,就不多瞎写了。要知道蜜罐要是没做好,很有可能敌人来袭,结果自己就先死了。如果真的有这情况...咋搞好呢?那么删库跑路里面,是删库重要呢?还是跑路重要呢?傻猪猪嚟嘅,咁系跑路啦...仲问那多


请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客