最近我一直在研究开源蜜网技术,主要是Honeyd和Potemkin。
想知道是否有人有使用它们或类似技术的经验,以及您将如何开始部署这些诱饵服务器。(这里是新手系统管理员)。
答案1
我有经验捕获 HPC。这可能不是您正在寻找的,因为它是一个完全活动的 honey 客户端解决方案,用于浏览您提供给它的 URL。尽管如此,我还是想给出一些建议和陷阱:
- 硬件。其中一些解决方案基于 VMWare。这意味着在机器被感染后进行恢复操作。这是硬盘密集型操作,如果同一硬盘承载两个需要同时恢复的虚拟机,则速度会变得非常慢。
- 尽可能隔离服务器。如果可能,将它们放在与组织 LAN 不同的网络上。
- 准备一个测试环境。可能存在不同的配置,这些配置可能会影响您的性能/恶意检测效率/等等。您需要体验这些配置。
- 使用未打补丁的客户操作系统。为了检测恶意活动,您需要测试应用程序的易受攻击版本。我会在 oldversion.com 和 FileHippo 上寻找这些版本。
- 考虑一下这些东西需要维护的事实。
我想还有更多内容。如果您想知道更具体的内容,请详细说明问题。
答案2
如果可以的话,请确保它们不能从内部网络访问。
在我还是个学生的新手的时候,我意外地登录了一个被感染的蜜罐机器,以为它是真的,因为没有人告诉我这是真的……
(虽然这显然不能保护您免受内部攻击)