- 综合排序
- 最热优先
- 最新优先
- 来自专栏技术篇
浅析蜜罐技术
一、什么是蜜罐技术国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。 蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。图片二、蜜罐技术的发展蜜罐技术改变了传统防御的被动局面。 蜜网技术使得安全研究人员可以在高度可控的蜜罐网络中,监视所有诱捕到的攻击活动行为。 三、蜜罐的目标与作用蜜罐技术强大而灵活,不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作,与 IDS相比,蜜罐的误报率较低。 蜜罐的出现改变了网络安全防护的被动局面,从被动接受病毒破坏到主动引诱病毒攻击获得信息,蜜罐的主动防御技术将会越来越受到人们的重视。
1.2K30编辑于 2022-09-28 - 来自专栏程序生涯
HONEYPOT(蜜罐技术)
蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。 是一种被侦听、被攻击或已经被入侵的资源。 Honeypots(蜜罐)系统即为此而生。 蜜罐系统好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。 另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者等!
3.3K20发布于 2020-08-14 - 来自专栏FreeBuf
网络蜜罐技术探讨
光有服务型蜜罐有些单一,目前业界解决方案,有三个方向,模拟数据中心服务的蜜罐,基于沙箱技术的客户端的蜜罐,和网络型诱导蜜罐。 第一项是基础,客户端蜜罐很多终端安全安全厂商都有很完备的解决方案,唯独网络型诱导蜜罐,目前没有一个成熟的技术解决方案,所以。。。 使用基于云的机器学习,以及先进的集群和数据挖掘技术的,也增加了速度和恶意软件分析的效率。 网络蜜罐的核心技术 诱导是蜜罐的核心价值所在,那么怎么才能把攻击者诱导进入到蜜罐网络呢? 回到正题,网络蜜罐技术对比表 技术方向 重点 网络蜜罐 使用DNS天坑技术诱骗进入蜜网 判断botnet连接,并且报警(使用大数据方法) 对http协议深度分析 ,我们已经了解网络蜜罐对比其他的DPI设备的技术优势。
2.4K90发布于 2018-02-08 - 来自专栏糖果的实验室
基于内存蜜罐的内存修改挂分析技术
无恒实验室也在承担着手游安全评审的相关工作,上期我们分享了游戏安全评审的技术进阶历程。2020年市场上重度手游的不断推出,游戏外挂的风险更是与日俱增,无恒实验室也加入到反外挂的战场。 一、外挂分类 2020年伊始,外挂情报同学收集了不同游戏大量的外挂样本,从技术实现上大概分为以下几类 定制挂:针对特定游戏逻辑或数据特征,通过直接修改客户端逻辑、数据或读取游戏核心数据并展示,以实现游戏作弊功能 尽管技术表现形式多种多样,但从原理上无外乎内存修改、函数调用、模拟点击、协议模拟,其中尤以内存修改类外挂占比居多,不完全统计内存修改类可占到90%以上的比例。 蜜罐构造期间、可尝试冻结游戏进程,减少无效修改项的干扰。根据构造方式的不同,又分为内存安全型蜜罐和内存破坏型蜜罐。 内存安全蜜罐 原理 以指针级别2,结构体范围为举例 ? 通过dump的镜像内存和内存蜜罐现有内存的比对,即可定位出所有被外挂修改的蜜罐内存位置,进而映射出原始游戏进程中被蜜罐修改的内存起始位置,修改前后的数据。
3.3K30发布于 2021-04-08 - 来自专栏Naraku的专栏
MySQL蜜罐
TABULAR filename = "D:/temp/Client.txt" get_data(filename, client, addr) client.close() 蜜罐识别 有些协议实现不完善的蜜罐,会把任意输入的用户名以及密码当成正确的; 许多蜜罐为了读取客户端的任意文件来识别攻击者的身份,会把客户端第一条执行的命令作为读取客户端文件的数据包返回; 登陆成功后通过SQL IP,总连接次数 SELECT host,total_connections FROM sys.host_summary 参考文章 Read MySQL Client's File 溯源反制之MySQL蜜罐研究 MySQL蜜罐获取攻击者微信ID 浅谈Mysql蜜罐识别 我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan
1.1K30发布于 2021-07-29 - 来自专栏Khan安全团队
蜜罐检测
核心功能功能模块技术实现URL去重输入文件哈希去重+结果文件增量校验智能限速令牌桶算法(支持动态时序调整)并发控制ThreadPoolExecutor线程池管理异常处理7大类错误分类统计(含QUIC协议错误 ) 蜜罐识别Cookie检测+备注密度分析。 无输入文件路径(UTF-8 编码) -t/--threads ❌ 10 个并发线程数(建议≤50) -r/--rate ❌无请求速率限制(请求数/秒) 输出文件文件名内容格式honeypot.txt 确认蜜罐
11400编辑于 2025-04-24 - 来自专栏安全小圈
蜜罐溯源
0x00软文目录 目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件 ? 0x01蜜罐介绍 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 ? 到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 email蜜罐 据悉,首先进行信息探测踩点对email蜜罐,攻击源的IP为43.250.200.16【湖南省 联通】,去尝试访问80端口建立tcp的连接。 ? tomcat蜜罐 对tomcat蜜罐也进行了探测建立了tcp的连接,攻击源IP为175.0.52.248 【湖南省长沙市 电信】 ?
1.7K30发布于 2020-08-21 - 来自专栏giantbranch's blog
搭建mhn蜜罐管理系统并部署蜜罐
29911, uptime 0:18:41 mnemosyne RUNNING pid 28173, uptime 0:30:08 在另一机器部署蜜罐 非常简单 登录MHN server(就是上面我们配置好的机器,80端口就好) 点击 “Deploy” 选择一种蜜罐 (比如 “Ubuntu Dionaea”). 复制部署命令 登录到要部署的蜜罐服务器并用root用户运行 效果
27610编辑于 2024-12-31 - 来自专栏FreeBuf
从近期情况看蜜罐新技术和发展走向
随着攻防演习日益实战化、常态化使得蜜罐从十几年的老安全技术焕发新春,基于蜜罐演进而来的欺骗防御也因此而名声大噪,越来越多的安全厂商已经将资源投入到此技术领域。 在最近信通院组织的蜜罐产品能力评测中,参与的主流厂商有36家之多。蜜罐技术火热的背后,是蜜罐技术可有效弥补当前网络安全防御方案短板的巨大推力,同时,趋于常态化的攻防演习也是最大的催化剂之一。 基于对蜜罐技术的研究,结合对开源蜜罐项目和商用欺骗防御类产品的调研和分析,本文将从对当前蜜罐产品使用的新技术介绍出发,来看未来欺骗防御的发展走向。 1. 未来欺骗防御发展预测 攻防演习已向常态化与实战化迈进,攻防演习虽不提蜜罐,但处处是蜜罐,但此蜜罐非彼蜜罐,笔者更倾向于称其为“欺骗防御”或“仿真诱捕”技术,传统的利用高交互蜜罐一招溯源攻击者的历史一去不复返 基于最新蜜罐技术演进分析,结合当前欺骗防御行业发展态势,笔者认为未来几年欺骗防御市场和产品发展将有以下几个趋势。 4.1.
1.6K10发布于 2021-05-20 - 来自专栏顶象技术业务安全专栏
顶象APP加固的“蜜罐”技术有什么作用
“蜜罐”是一种主动防御技术,通过模拟一个或多个易受攻击的漏洞或缺陷诱导攻击者发动攻击,从而收集捕获攻击流量和样本,分析出攻击手段、发现网络威胁、提取威胁特征,是一个与攻击者进行攻防博弈的过程。 随着技术的发展,蜜罐与新技术应用相融合,从单独的产品服务,并成为很多安全服务的集成模块。 例如,顶象APP加固集成“蜜罐”技术,能够识别探测可疑攻击,拒绝恶意指令执行,当攻击者者进入的一瞬间,其操作和行为的所作所为都将被蜜罐完整记录下来,成为防守方手中的重要信息。 蜜罐技术让App加固攻守兼备 作为顶象防御云的一部分,顶象端加固支持安卓、iOS、H5、小程序等平台,独有云策略、业务安全情报和大数据建模的能力。 集成蜜罐技术的顶象App加固,提供了攻守兼备的安全能力。 收集入侵信息,并提供安全情报。
1.2K10编辑于 2023-02-23 - 来自专栏乌鸦安全
MYSQL蜜罐反制
应用场景 蜜罐是网络攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。同样,攻击方也可以通过蜜罐识别技术来发现和规避蜜罐,减少被防守方溯源。 蜜罐环境能否迷惑攻击者一定程度上取决于搭建环境是否仿真,简单的环境容易被攻击者识破。现如今,弱口令依然是导致网络安全事件的主要因素,有时候一个弱口令可能导致企业被攻击者从外网打到内网。 mysql蜜罐通过搭建一个简单的mysql服务,如果攻击者对目标客户进行3306端口爆破,并且用navicat等工具连接蜜罐服务器,就可能被防守方读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源
3.8K40发布于 2021-08-05 - 来自专栏网络安全攻防
Mysql蜜罐使用
信息 参考连接 https://github.com/qigpig/MysqlHoneypot https://github.com/heikanet/MysqlHoneypot 溯源反制之MySQL蜜罐研究 MySQL蜜罐获取攻击者微信ID
78280编辑于 2022-05-07 - 来自专栏闪石星曜CyberSecurity
浅谈蜜罐机制
从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 ? 说道这里就不得不说一下蜜罐的类型了: 1、低交互蜜罐(简单): 低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易) 2、中交互蜜罐(中度): 中交互蜜罐是对真正的操作系统的各种行为的模拟 蜜罐是一门很让人有兴趣的技术,他从普通的钓鱼思路扩展到了针对于同行的一个针对,说实话,每次看到黑客进入服务器,都会觉得好笑。 同时担忧的是害怕服务器真实的服务器被查到,从而攻破服务器。 目前主要的三种沙盒逃逸技术: 1.沙盒检测:检测沙盒的存在(在检测过程中只显露出友好行为); 2.利用沙盒漏洞:利用沙盒技术或目标环境中存在的安全缺陷; 3.基于环境感知(Context-Aware
1.8K30发布于 2020-07-27 - 来自专栏应急响应
蜜罐安装和部署
蜜罐安装和部署实验步骤:安装和部署蜜罐:打开win7使用Xshell去连接蜜罐服务器,去上传web访问网页的软件包连接到蜜罐服务器之后,由于Xshell上传用命令执行上传会出现乱码,首先在win7上开启 ,节点会自动创建9个蜜罐服务,都是常见的这些蜜罐服务伪装成了常见的服务端口添加蜜罐服务:选择添加蜜罐服务,再创建一些蜜罐服务,比如添加一个企业开发经常用的自动化发布平台Jenkins在蜜罐服务器上,放通蜜罐服务的端口 (伪造的Jenkins平台)然后再伪装的Jenkins平台输入账号admin密码admin,看看返回(是一个中交互蜜罐服务)查看蜜罐的账号密码捕获,上一步输入用户名和密码后,在左边选择【威胁实体】—>【 @#,可以把这个用户名和密码放到企业信息监控里面,当蜜罐捕获到同样的用户名、密码时,说明这个开发账号、密码泄露了,需要赶紧整改然后在蜜罐服务伪装的Jenkins平台,https://192.168.0.3 @#后,再看看账号资产的监控信息可以看到,账号资产的监控信息中,企业信息监控捕获到一些泄露事件添加蜜饵:首先开启ssh的蜜罐服务,ssh蜜罐默认端口是22,由于和真实ssh服务冲突,默认是不启动的,将它改为飞默认端口
71210编辑于 2024-08-14 - 来自专栏FreeBuf
T-Pot多蜜罐平台:让蜜罐实现更简单
这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。 随着虚拟化技术的发展,各种虚拟蜜罐也得到发展,可以通过虚拟机来实现高交互蜜罐,以及通过docker实现的业务型蜜罐,不再像是以前需要昂贵硬件设备的部署支撑,这也大大减少了蜜罐的部署成本,一台主机就可以实现整个集数据控制 MHN现代蜜网简化了蜜罐的部署,集成了多种蜜罐的安装脚本,可以快速部署、使用,也能够快速的从节点收集数据。国外也有很多公司做基于蜜罐的欺骗技术产品创新。 T-Pot16.10多蜜罐平台直接提供一个系统iso,里面使用docker技术实现多个蜜罐,更加方便的蜜罐研究与数据捕获。 这些蜜罐守护程序或者其他组件都通过docker虚拟化技术提供。这样可以使我们在一个网卡上运行多个蜜罐系统,并且整个系统更好维护。
3K70发布于 2018-02-26 - 来自专栏高防
蜜罐的详细介绍
蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。 这样,蜜罐可以帮助优化和改进其他网络安全系统。) 蜜罐的优点和缺点 蜜罐可以提供有关威胁如何进化的可靠情报。 黑客会不断完善他们的入侵技术;网络蜜罐有助于确定新出现的威胁和入侵。充分利用蜜罐也有助于消除盲点。 蜜罐也是技术安全人员的绝佳培训工具。 蜜罐的危险 虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。 由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。 总体而言,使用蜜罐的好处远大于风险。
1.4K00编辑于 2022-05-29 - 来自专栏建帅技术分享
Hfish安全蜜罐部署
一、Hfish蜜罐介绍 HFish蜜罐官网 HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、 可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性 二、安装部署 1.配置防火墙 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。)
96850编辑于 2023-09-05 - 来自专栏网络安全攻防
HFish蜜罐搭建使用
基本介绍 HFish是一款基于Golang开发的跨平台多功能主动诱导型开源国产蜜罐框架系统,它从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力 ,其中管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击 主要特点 HFish当前具备如下几个特点: 安全可靠:主打低中交互蜜罐,简单有效 功能丰富:支持基本网络 服务、OA系统、 蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听 https://192.168.17.132:4433/web/nodeList 可支持的蜜罐列表如下: https 攻击蜜罐 服务扫描 使用Nmap扫描蜜罐查看对应的服务信息: nmap 192.168.17.132 SSH蜜罐 使用Kali虚拟机尝试SSH远程登录Hfish蜜罐系统的主机 ssh root@ :9200/ 攻击记录: 文末小结 Hfish蜜罐部署简单,使用方便且功能强大,算是蜜罐界的一个标杆项目,更多的使用说明可以参考一下官方文档:https://hfish.io/#/
3.2K41编辑于 2022-05-07 - 来自专栏黑战士安全
通过蜜罐技术获取攻击者手机号、微信号
杂谈 首先,我们先讲一下蜜罐的概念,你可以简单理解较为蜜罐就是一个陷阱,故意暴露一些我们人为设计好的漏洞,让攻击者自投罗网。 蜜罐介绍 蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。 另外蜜罐也可以消耗攻击者的时间,基于JSONP等方式来获取攻击者的画像。 但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源。 Fake Mysql 这里再提一下Fake Mysql的概念,通过伪装Mysql服务器,诱导攻击者来连接,利用漏洞来读取攻击者电脑的文件从而就有了下面的内容 蜜罐技术获取手机号、微信号、地址 那么如何通过这种技术获取攻击者的手机号和微信呢 然后通过docker启用服务 然后运行本项目 docker-compose up -d 使用方法 攻击者通常会发现我们网站的一些漏洞,我们这里使用蜜罐技术,故意暴露我们的数据库,我们数据库这里设置弱口令
2.4K20编辑于 2022-03-20 - 来自专栏一己之见安全团队
安全设备篇——蜜罐
蜜罐的定义 蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。 ,这其实就是一个蜜罐模型了。 蜜罐应用 蜜罐的概念很简单,但是应用到各方面十分复杂,最新的一些技术有wifi蜜罐、xxx业务蜜罐。 也确实,形成这种局面的主要原因是因为蜜罐的开发和应用是存在一些矛盾的,即使蜜罐高度可自定义服务及漏洞类型等,但定下后很难更改,且就监测来说,态势感知、waf等绝对是优先于蜜罐的,同时也不是所有安全设备支持联动 蜜罐虽然是模拟漏洞,但蜜罐本身不可能保证得了自己完全无漏洞可被利用,就比如去年hvv爆出的某安蜜罐逃逸,虽然不知道实锤了没,up没有关注后续(某安因为up没有证书没给面试,好气好气),说明蜜罐并不是绝对安全的产品
59210编辑于 2024-06-27
腾讯云开发者
