安全——互联网播放幻灯片 | 文档首页文档目录

效率

工具

手机

分类

时间

文件

方法

视频运营

营销方式

存储

分类

搜索

搜索引擎

浏览

室内设计

室内设计

建筑设计

建筑设计

Markdown

软件

产品

行业

品牌运营

风格

运营

运营

数据

数据分析

网站运营

设计

设计

办公

电商运营

电商运营

键盘

鼠标

鼠标

开发

其他

自媒体运营

网站建设

内贸

UI 设计

软件

硬件

软件

多媒体运营

山水池

文档

模型

工业设计

外贸

工具

支付

图片

图片

格式

视频

视频

音频

文本

软件

其他

电脑

电脑

用户运营

用户运营

图表

模型

用户

其他

软件

简介

:::: tabs top-start

::: tab-pane 类型电信劫持、浏览器劫持、HTTP 缓存投毒劫持、离线储存投毒劫持、浏览器插件劫持、HTTPS偷换证书、过滤 HTTPS 跳转劫持、蜜罐代理劫持、搜索引擎劫持、输入法劫持、钓鱼控件劫持、系统网络模块注入劫持、host文件劫持、Hub嗅探劫持、MAC欺骗劫持、MAC冲刷劫持、ARP攻击劫持、DHCP钓鱼劫持、DNS劫持、CDN入侵劫持、路由器弱口令劫持、路由器CSRF劫持、PPPoE钓鱼劫持、WiFi弱口令劫持、WiFi伪热点劫持、WiFi强制断线劫持、WLAN基站钓鱼劫持、VPN劫持、Android系统Activity界面劫持、Android系统Root系统劫持、苹果系统越狱劫持、服务端脚本劫持、客户端脚本JS劫持、Header劫持。 :::

::::

工具

:::: tabs top-start

::: tab-pane 检查 IIS7检查：网站劫持检测。 :::

::: tab-pane 验证

GEETEST：行为安全验证。

易盾：网易出品，行为验证码。

:::

::: tab-pane 账号 Data Leak Check：这个网站收集了几百亿条各种网站泄露的用户数据，可以帮助你查询你的账户密码有没有被泄露。

Mozilla Monitor：扫描数据是否曾遭外泄。 :::

::::

求知

网站

:::: tabs top-start

::: tab-pane 资讯

安全脉搏：安全资讯。

安全牛：安全资讯。

:::

::: tab-pane 漏洞

技能树：漏洞银行。

知道创宇：漏洞公布平台。

:::

::::

拓展

:::: collapse-panel accordion

::: collapse-item 网络蜜罐

简介

一个接入互联网的网站，只要能和外部产生通信，就有被黑客攻击的可能；使用某种陷阱来引诱攻击者，就可以避免自身不被攻击，这种引诱黑客攻击的 “陷阱” 就是 “蜜罐” 。蜜罐是存在漏洞的、暴漏在互联网中的一个虚假的服务（器）其价值在于被扫描、攻击和攻陷。

起源

“蜜罐”这一概念最早起源于一本上世纪出版的小说——《The Cuckoo’s Egg》，小说描述了主人公作为一个公司的网管人员，如何追踪并发现一起商业间谍的故事，该书的作者 CliffordStoll 还是个计算机安全专家，他在 1988 年提出 “蜜罐是一个了解黑客的有效手段” 。

在这一概念被提出 10 年后，蜜罐思想吸引到一匹网络安全技术员的注意，同时也开发出一批相应的虚拟蜜罐产品，该阶段的 “蜜罐工具” 能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

该阶段的蜜罐为低交互式蜜罐，只是模拟出了真正操作系统的一部分，例如模拟一个 FTP 服务。虽然低交互式蜜罐容易建立和维护，但模拟可能不足以吸引攻击者，还可能导致攻击者绕过系统发起攻击，从而使蜜罐在这种情况下失效。

为了获取更多攻击者信息，于是有人就提出一些设想：

如果用蜜罐获取到更多的攻击者信息，比如攻击者的 IP，就可以对攻击来源打上标记，这样一来就可以直接防御来自被标记的攻击。

在这种思想的引领下，衍生出了一种高交互蜜罐。高交互蜜罐提供真实的操作系统和真实的服务，因此，这种蜜罐的交互性最强，收集到的数据也最全面。

现状

随着新型的 APT 攻击的出现，很多企业意识到传统安全技术手段已经无法满足对内部威胁的及时发现，于是，很多传统的安全公司大佬都开始转战使用动态沙箱技术来解决问题，来探测未知威胁。

主要是针对 APT 攻击的第一个环节，黑客通过社会工程学的手段得到用户的信息，使用网络钓鱼或者水坑攻击的方式进入企业内网个人 PC。但是要拿到有价值的内部敏感信息，黑客需要进一步部署攻击链，包括获取凭证、内网资产扫描等探测工作，因为很多行业包括金融机构是不允许在业务服务器上安装安全解决方案的，甚至配置日志系统都不可以，那么，目前部署蜜罐是最好的解决方案。

蜜罐作为一种解决方案，其开源产品和商用产品的不同特性、国内外的成熟的商业蜜罐解决方案介绍、蜜罐所涉及的核心技术分析。

分类

按类型我们可以将蜜罐分为：产品型，容易部署、实时报警；研究型，高交互、数据捕获。

按交互可分为：低中交互，模拟的 TCP/IP 协议栈、模拟的服务 & 漏洞；高交互，真实的系统 & 应用 & 漏洞，数据捕获、分析、控制。

优势

蜜罐的主要优势在于能诱导和记录网络攻击行为，阻止或延缓其对真正目标的攻击，而且能记录攻击日志，便于审计和回溯。

高交互蜜罐

优势

大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就更加容易。

劣势

高交互蜜罐部署和维护起来十分困难，而且被攻破的系统可能会被用来攻击互联网上其他的系统，这必须承担很高的风险，数据收集也是设置蜜罐的技术挑战。

1、蜜罐监控者需记录下进出系统的每个数据包；

2、蜜罐本身上面的日志文件也是很好的数据来源，但日志文件很容易被攻击者删除。

成本

在真正的生产环境中，我们不仅要考虑到安全，还需考虑部署的成本，高交互蜜罐，存在被攻陷的可能。

蜜罐的部署成本也较高，但随之也更真实，更容易迷惑攻击者，捕获到高级的威胁；opencanary 这种低交互蜜獾适合部署在局域网用来检测来自攻击者横向移动阶段的扫描，Cowrie 的中交互蜜罐适合放在外网用来捕获一些恶意样本，扩充 IOC 库及提供给分析师分析（这一类方法是比较实在且行之有效的方式）。捕获针对性攻击的样本需要部署针对性的蜜罐，t-pot 虽融合了多种蜜罐，但可重构性不高。想利用开源的蜜罐作为捕获威胁的一种解决方式，还需要花更多的心思。情报驱动应急响应，数据驱动安全，蜜罐作为获取情报的一种手段，怎么样利用蜜罐以最小的风险，去获取攻击者的攻击方式、反向追踪攻击者，御敌于安全事件发生之前，这是一件看似简单实际不简单的事情。 :::

::::