计算机蜜罐技术

一、从影片特技到蜜罐技术
      《特洛伊》里庞大的希腊舰队、《终结者2》里随意改变形体的“液体金属”、《侏罗纪公园》里满地乱跑的恐龙们、《黑客帝国》里的“子弹时间”……随着计算机技术的不断发展，越来越多的电脑特技被应用在电影领域，不需要工资的虚拟演员不知辛劳地日夜工作，这些电脑技术使得导演可以构思现实中不可能存在的情节环境，也减少了影片开支。但是，在计算机的信息安全领域里，网络管理员要面对的是黑客真枪实干的入侵破坏，难道在电脑技术大量应用的今天，安全领域却得不到一点援助？答案是有的，它就是在安全领域里代替网络管理员上阵的“虚拟演员”——蜜罐技术。
蜜罐，或称Honeypot，与应用于电影的特技相比，它并不神秘——所谓蜜罐，就是一台不作任何安全防范措施而且连接网络的计算机，但是与一般计算机不同，它内部运行着多种多样的数据记录程序和特殊用途的“自我暴露程序”——要诱惑贪嘴的黑熊上钩，蜂蜜自然是不可少的。在入侵者的角度来看，入侵到蜜罐会使他们的心情大起大落——从一开始偷着乐骂管理员傻帽到最后明白自己被傻帽当成猴子耍的过程。

二、为什么要使用蜜罐
        《终结者2》里阿诺让约翰把自己放入熔炉，《特洛伊》里Achilles被王子射杀，战争片里的机枪扫射，甚至《黑衣人》里外星人发射的核弹毁灭了北极！如果这一切是真实的话，我们的明星已经成为墙上的照片了，拍一部片要死多少人？况且，我们只有一个地球，值得为了一部影片炸掉某个地区？所以人们必须采用电脑特技完成这些不能真实发生的剧情。同样，管理员也不会为了记录入侵情况而让入侵者肆意进入服务器搞破坏，所以蜜罐出现了。
前面说过了，蜜罐是一台存在多种漏洞的计算机，而且管理员清楚它身上有多少个漏洞，这就像狙击手为了试探敌方狙击手的实力而用枪支撑起的钢盔，蜜罐被入侵而记录下入侵者的一举一动，是为了管理员能更好的分析广大入侵者都喜欢往哪个洞里钻，今后才能加强防御。
另一方面是因为防火墙的局限性和脆弱性，因为防火墙必须建立在基于已知危险的规则体系上进行防御，如果入侵者发动新形式的攻击，防火墙没有相对应的规则去处理，这个防火墙就形同虚设了，防火墙保护的系统也会遭到破坏，因此技术员需要蜜罐来记录入侵者的行动和入侵数据，必要时给防火墙添加新规则或者手工防御。

三、深入蜜罐
       既然使用蜜罐能有那么多好处，那么大家都在自己家里做个蜜罐，岂不是能最大程度防范黑客？有这个想法的读者请就此打住！蜜罐虽然在一定程度上能帮管理员解决分析问题，但它并不是防火墙，相反地，它是个危险的入侵记录系统。蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜，只要管理员在某个设置上出现错误，蜜罐就成了打狗的肉包子。而一般的家庭用户电脑水平不可能达到专业水平，让他们做蜜罐反而会引火烧身——蜜罐看似简单，实际却很复杂。虽然蜜罐要做好随时牺牲的准备，可是如果它到最后都没能记录到入侵数据，那么这台蜜罐根本就是纯粹等着挨宰的肉鸡了，蜜罐就复杂在此，它自身需要提供让入侵者乐意停留的漏洞，又要确保后台记录能正常而且隐蔽的运行，这些都需要专业技术，如果蜜罐能随便做出来，我们在家里也能拍摄《黑客帝国》了——故意开着漏洞却没有完善的记录处理环境的服务器不能称为蜜罐，它只能是肉鸡。所以，我们必须了解蜜罐，它到底是什么样的？

1.蜜罐的定义
 //文章出处:网络技术论坛(http://bbs.nettf.net) 作者:小金
         首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是：“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

2.涉及的法律问题
       蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的，例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”（指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为）去攻击别人，那么这个损失由谁来负责？设置一台蜜罐必须面对三个问题：设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。
       由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。
对于管理员而言，最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为，既然蜜罐是故意设计来“牺牲”的，那么它被破坏当然合情合理，用不着小题大做吧。对，蜜罐的确是用来“受虐”的，但是它同时也是一台连接网络的计算机，如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击，因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的，例如，你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一，那么这个责任谁来负担？

3.蜜罐的类型
       世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生了多种多样的蜜罐……