「收集安然」蜜罐到蜜网入门指南（一）蜜罐初识

蜜罐，是一种网络安全产品。
本文作为《『网络安全』蜜罐到蜜网入门指南》系列的第一篇，从网络安全动手，由浅入深，逐步先容，带大家初步认识蜜罐。

一、网络安全

如今，是一个网络天下，网络安全至关主要！

上至国家，中至企业，下至个人，都该当重视网络安全。
由于它不仅关乎国家，也涉及到我们每个人的切身利益和财产安全。

为了保障网络安全，掩护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权柄，促进经济社会信息化康健发展，我国专门制订出台了《中华公民共和国网络安全法》，于2016年11月7日通过、公布，自2017年6月1日起施行。

国家专门制订法律法规，由此可见，网络安全的主要性。
希望我们大家可以引起重视，提高网络安全意识，共同掩护网络天下和平！

二、重大网络安全事件

随着互联网技能不断发展，越来越多的电子设备接入网络，网络环境日益繁芜。

同时，网络攻击也从未停滞过！
可以说每时每刻，互联网上都在发生着各种网络攻击事宜。
如：谢绝做事攻击、DDoS攻击、域名挟制攻击、恶意爬虫、网页挂马、造孽越权、sql注入、命令实行等。

为了让大家有一个更直不雅观的感想熏染，列出几个近年来比较重大的网络安全事件，一起看看。

2.1、震网

震网（Stuxnet），是一种蠕虫病毒，繁芜度远超一样平常电脑黑客能力。

震网病毒于2010年06月首次被检测到，是第一个专门定向攻击真实天下中根本举动步伐的蠕虫病毒，比如核电站、水坝、国家电网、工业掌握等。

由于震网病毒，60%的传染发生在伊朗，以是被疑惑是由美国和以色列联合研发的打算机蠕虫病毒，目的在于毁坏伊朗的核武器操持。

"震网"是第一个震荡天下的网络安全事宜。

2.2、Mirai – 物联网的噩梦

Mirai病毒，可以说是物联网的噩梦。
紧张通过传染那些存在漏洞或者弱口令的物联网（iot）设备。

Mirai像“寄生虫”一样存在设备中，不断扫描被传染设备同网络中的其他设备，进行分裂传播。

弱口令，也叫弱密码，某种意义上可以算是最大的安全漏洞！
！
！
黑客攻击，常用方法之一便是弱口令爆破，建议大家只管即便提升密码繁芜度。

Mirai通过掌握大量物联网设备，形成僵尸网络，以此对目标发起DDos攻击。
DDos攻击是常用的"谢绝做事攻击"方法之一，即：同时对目标做事发起大量要求，花费目标资源，使目标无法正常供应做事。

被黑客掌握的设备，我们一样平常称之为"肉鸡"，任人宰割。

通过Mirai僵尸网络发起的网络攻击事宜很多，比较著名的几次攻击，如下：

2016年9月20日，著名的安全新闻事情者Brian Krebs的网站KrebsOnSecurity.com受到大规模的DDoS攻击，其攻击峰值达到665Gbps，Brian Krebs推测这次攻击由Mirai僵尸发动。
2016年9月20日，Mirai针对法国网站主机OVH的攻击打破DDoS攻击记录，其攻击量达到1.1Tpbs，最大达到1.5Tpbs。
2016年10月21日，美国东海岸地区大规模断网事宜，据宣布，一共有超过百万台物联网设备参与了这次 DDoS攻击。

2016年9月30日，Mirai作者公开拓布了Mirai病毒源码。
其公布源码的目的大概有两个：一是创造有关机构正在清理其掌控的僵尸设备；二是为了让更多的黑客利用该病毒进行扩散，掩人线人，隐蔽自己的踪迹。

此举效果很明显，后来基于Mirai源码改编，形成了许多Mirai变种病毒。
物联网噩梦，从此开始！

也有许多新手黑客，直策应用Mirai源码练习，导致更多物联网设备加入僵尸网络。

2.3、永恒之蓝

2017年5月开始，环球爆发针对Windows系统的“永恒之蓝”打单病毒。

黑客利用恶意代码通过扫描开放445文件共享端口的windows主机，无需用户任何操作，只要开机上网，不法分子就能在电脑和做事器中植入打单软件，对主机文件进行加密，以此打单敲诈，索要300美元比特币赎金。

当时，"永恒之蓝"席卷环球，据宣布有90多个国家遭到攻击。
乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到打击，包括政府、银行、电力系统、通讯系统、能源企业、机场等主要根本举动步伐都被波及。

在海内，教诲网是遭到攻击的重灾区。
当时正在写毕业论文的朋友们，你们还好吗？

三、从通用防御方法到网络安全产品

有攻击就有防御！
在网络安全领域中，攻击与防御是一对永恒话题，相辅相成，相互促进。

大量网络攻击事宜频发，也促进越来越多的网络安全产品应需而现。

感谢黑客大佬们在一定程度上，为网络安全发展贡献的一份力量！

值得一提的是，网络安全产品并不是溘然涌现的，而是经由浩瀚网络安全职员长期探索、研究，总结形成的一定产物。

3.1、通用防御方法

在网络安全产品之前，系统运维职员并没有专门的安全工具来防御网络攻击。

值得光彩的是，最初的黑客技能也相对单一，攻击办法远远没有目前繁芜。
以是，运维职员采取的防御方法也基本相同，部分可以总结为以下方法：

访问掌握：通过口令、身份认证、黑白名单、访问掌握表等限定访问。
网络隔离：通过设置防火墙规则，限定网络流量，防止攻击蔓延。
如：网络流量只进不出、只出不进或只许可固定来源流量通过等。
漏洞扫描：攻击者可以通过扫描创造漏洞，同样网络防护者也可以通过漏洞扫描工具去创造系统漏洞，提前修复。
入侵检测：根据入侵事宜特色检测正在发生或者已经发生的入侵事宜。
如，内存占用过多、cpu满负荷、未知域名访问等。
安全相应：创造攻击事宜后，对它进行处理，发出报警等。

列出的只是部分方法，扩展内容，理解即可。

3.2、网络安全产品

逐步发展，基于这些通用方法，形成了一系列的网络安全产品。

比如：

防火墙：最成熟的网络安全产品之一，配置得当的防火墙规则，可以阻挡很大一部分攻击。
入侵检测系统：与防火墙的被动式防御不同，入侵加测系统具有创造入侵的能力。
入侵检测系统可以对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。
入侵检测系统一样平常和防火墙合营利用，可以实现多重防护，构成一个整体的、完善的网络安全保护系统。
漏洞扫描系统：自动探测网络资产，基于漏洞库识别已知漏洞。
防病毒系统：基于已知病毒库，扫描检测主机文件或者下载文件，识别病毒，防止病毒入侵主机、扩散到全网。
数据备份系统：安全不是绝对的，没有哪种产品的可以做到百分之百的安全，但我们的许多数据须要绝对的保护。
最安全的、最保险的方法是对主要数据信息进行安全备份。
数据备份系统将全体系统的数据或者一部份关键数据通过一定的方法从主打算机系统的存储设备中复制到其它存储设备。
WAF：也叫web运用防火墙，是通过实行一系列针对HTTP/HTTPS的安全策略来专门为web运用供应保护的一种产品。

扩展内容，理解即可。

经由不断发展，虽然形成了浩瀚的网络安全产品，但这些依然不能办理问题。
安全是相对的，不可能一劳永逸，以是我们必须随时更新技能，迭代产品。

四、不对等的攻防

只管，有浩瀚的网络安全产品，但是长久以来，网络对抗中，攻防力量从来都是不对等的。

安全攻防这件事，实在是不足公正。

在对抗中，攻击方上风远大于防守方，攻击与防御处于不对等状态，防守一贯处于被动防御阶段。

要实现攻击，大概只须要一个漏洞，但是要做到防御，须要找到尽可能多的漏洞。

防御切实其实不是人干的活！
敌众我寡，敌暗我明… 其余，攻击每每发生在深夜！

并且，随着黑客技能的不断发展，网络攻击层出不穷，手段日趋多样化，仅仅依赖被动防御技能已经很难抵御攻击了。

我们急须要由被动变主动，节制安全防御主动权！

直到主动诱饵技能被提出，蜜罐技能兴起，将被动防御变为了主动防御。

五、蜜罐 – 主动防御

蜜罐技能是一种网络主动防御技能。

一样平常，蜜罐可以被定义为：一种安全资源，它的代价就在于被探测、被攻击或被攻陷。

通过构建仿照的系统或者做事，达到欺骗攻击者，领导攻击、增加攻击代价、减少对实际系统或做事安全威胁的目的。

蜜罐，可以是一种做事、一个web页面、一种数据库或者一个完全的操作系统，乃至可以是一个文件。

我们可以理解为：蜜罐是一个被严格监控的打算机资源，包含有看上去很有攻击代价的虚假诱饵数据和一些已知漏洞，以此吸引入侵者攻击。

在蜜罐被入侵的过程中，会实时记录和审计攻击者的攻击流量、行为和数据。
用于剖析理解攻击者所利用的工具和方法等，便于安全职员后期增强戒备方法，攻击溯源、取证等。

END.