标签： 蜜罐

本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站，从而可以提供多种不同服务，目的就是要吸引攻击者，采集攻击者在攻击过程中和攻击后的行为信息。

世界蜜网项目组织启动了一项新的研究，该研究来自一名德国学生。这名德国学生所进行的研究是“诱捕通过USB存储设备来传播的恶意软件”。 通过USB存储设备感染的恶意软件，诸如Stuxnet和它的“近亲”Flame，虽然给网络安全带来了极大的挑战，但是，它们却并非通过网络来感染的。 这名德国学生名叫 Sebastian Peoplau，来自伯恩大学，现在已经被吸纳为世界蜜网项目组织Ghost-usb-h...

　　对于在企业网络中设置蜜罐，最广为人知的好处是了解恶意软件和黑客的行为，但是我们通常推荐企业在内部网络安装互动功能较弱的蜜罐，以便对任何需要与其接触的行为作出报告。没有人会对蜜罐进行访问。因此可用蜜罐来寻找进行越权操作的受信任内部人员或合作伙伴。

　　最近的一个案例：笔者安装了一个Kfsensor蜜罐，打算帮老客户排除一个外部威胁。当微调软件以移除确定错误时，我们看到大量恶意的操作行为，包括端口扫描，对蜜罐电脑的RDP链接，NetBIOS登录和网站身份认证的尝试。当笔者调查IP源地址和姓名的时候，企业主恰好在旁边。
...

　　据有关资料显示，现在有大量的服务器仍在使用IIS提供Web服务，甚至有争夺占领Apache市场的趋势。 在Web威胁日益严重的今天，我们当然要采用反病毒、防火墙、UTM、NAC等手段来加强网络安全。但是，有时正确地建设一个蜜罐也是对付黑客的必需任务。

　　什么是蜜罐？简言之，蜜罐就是一个位于互联网上的计算机系统，其特定的目的是为了吸引并“诱捕”试图渗透进入其他人的计算机系统的黑客。要建立一个真正的蜜罐，用户需要做的事情很多，但至少要求用户做到三条，一是安装一个不打补丁的操作系统，并且需要使用默认配置，二是要保证系统上没有任何数据，三是添加一个设计目的是记载入侵者活动的应用程序。
...

我们知道如果我们要去黑别人，我们是要进行一些行为的，比如：telnet到服务器的80端口确认服务器是IIS？Apache？或者别的WEB Server，但是你有没有想到，当这一切都被对方的服务器记录下来，包括你探测的时间、IP地址、行为……怎么办？

什么是KFSensor呢？用该软件帮助文档里面的一句话说就是：KFSensor is a honeypot based Intrusion Detedtion System (IDS)——KFSensor是一款基于入侵检测系统的蜜罐。