揭秘!杀毒软件公司的诱捕蜜罐
揭秘!杀毒软件公司的诱捕蜜罐
来源:《电脑爱好者 》 2003 作者:CoolBoy
在热带有一种叫做猪笼草的植物,它通过身体一个像“罐”状的部分分泌蜜汁来吸引小昆虫,然后诱捕它们,作为食物。可是您知道吗?在现在的网络中也有着一个相似的东西,它就是网络蜜罐。
杀毒厂商如何获得最新病毒
也许你时常听到这样的消息,××蠕虫攻击网络,该蠕虫样本被××公司首先截获,××病毒爆发,该病毒在国内首次为××组织所发现……凡此种种,好学的读者一定时常会发出疑问,这些杀毒厂商,安全组织和安全公司是如何截获到病毒或蠕虫的呢?为什么他们总是要先于一般用户察觉到呢?于是大家在困惑中不自觉加入了无限幻想,时常将安全组织,杀毒公司的技术人员看成神通广大的网络侠客。
其实,这些东西往往是因为我们的臆想而变得神秘离奇。安全公司或杀毒公司获取信息的手段无外乎如下几种:第一,通过和国外同行交流信息,获得发生在国外“险情”的第一手资料;其二,派出人员在一些黑客或病毒组织的论坛、聊天室“潜伏”;其三,也就是本文要介绍的,采取搭建蜜罐(honeypot)获取信息。
也许你很快发现,前两个手段似乎并不十分有效,毕竟它们接受信息的方式是被动的,那么重任似乎只有落到蜜罐这个东东身上了。不过究竟什么是蜜罐呢?它又是如何工作?如何帮助安全人员获取黑客和毒客的信息的呢?
什么是蜜罐?
这恐怕要从蜜罐的起源讲起。很早以前,安全界人士为研究黑客行为,发现一些没有公开的攻击手段,就想出了蜜罐这种方法。所谓蜜罐往往是一个故意设计的有缺陷的系统,通常用来对入侵者的行为进行警报、诱骗以及记录。传统的蜜罐一般情况下往往通过软件架设一些虚拟的操作系统,同时故意保留一些常见漏洞。
这样,无论是黑客还是毒客,只要它们将自己的病毒或有害程序通过互联网扩散,都会很快被这些蜜罐接收到。而这些蜜罐接收到。而这些蜜罐架设者(往往是杀毒公司,安全公司或安全组织)则会马上组织技术人员对这些程序或攻击行为进行分析,并及时作出安全响应,提出解决办法。
也许你可能产生疑问了,这样“撞大运”的方法能有多大效用呢?笔者从一份国外的资料中发现了这样一个有趣的数据,一个默认安装,没有做过安全设置的Red Hat 6.2服务器的平均寿命是72小时,有时网络上的蜜罐机器会在架设好后的8小时之内就遭到攻击。你要知道无论病毒蠕虫还是“hacker”往往都是具有较强攻击性的。他们经常持续地扫描并且攻击各种各样的系统,一旦发现可乘之机,就会趁虚而入。
当然正所谓道高一尺,魔高一丈,一些水平较高的hacker往往会通过一些方法发现蜜罐的存在,那么恼羞成怒后的结果往往会使虚拟系统陷于瘫痪,甚至所在主机遭受攻击。
因而,时之今日,现在的蜜罐系统大多都是标准的机器,上面运行的也大多是真实完整的操作系统及应用程序。不再刻意地模拟某种系统漏洞。这样蜜罐仅仅是将系统放置于互联网上,并且等待外部攻击。可以说蜜罐已经向着Honeynet①的方向发展。它已经演变为一个学习工具,蜜罐往往会被架设成一个网络系统,而并非某台单一的主机,所有外来数据都受到捕获及控制分析。这些被捕获的数据可以帮助我们研究分析入侵者使用的工具、方法及动机。
不过也许你不会想到,建立蜜罐最主要目的是了解、学习并且分享一些安全的经验。一般这些蜜罐架设者会把获取的一些信息发送给权威机构如CERT以及SANS等,他们的口号是——研究就是研究(蜜罐架设往往不愿意为了法律事物而影响太多精力。而那些蠕虫病毒或入侵者也在蜜罐过得逍遥,这一切似乎达到了和自然界相同的和谐统一)。
也许有人会怀疑蜜罐的效果,不过事实说明了一切,现今对蠕虫和病毒的响应往往就是通过蜜罐首先捕捉到样本后才完成的。同时对入侵者团体使用的工具、策略和动机以及这些组织信息资源的收集,最主要的方法就是通过使用蜜罐来收集。比如最近发现的samba服务(一个linux下的共享磁盘和打印机的服务)的漏洞,就是从蜜罐中的一个hacker入侵记录中发现的(要知道这个漏洞已经存在了十年了,如果没有蜜罐也许这个漏洞还要被那个hacker利用下去……)。
同时,网上还有一些公开的蜜罐项目,他们会提供蜜罐收集的数据。这些数据的公开无疑提高了公众对Internet上存在威胁和漏洞的认识程度,这些项目通过对入侵者怎样控制实际系统的演示来提高人们的安全意识。(有许多人不相信入侵的事情会发生在他们身上,但这些演示会改变他们的想法。)
呵呵,相信一些读者已经看得心里痒痒了吧;想不想自己架设一个蜜罐呢?你可以去这个网址看看(http://project.honeynet.org),那里会有你需要的东西,不过要提醒的是,架设蜜罐要有一定技术根底,否则会有风险,千万要谨慎哟!
小特侃侃:其实关于蜜罐这东东小特也询问过国内的几个杀毒软件厂商,结果告诉小特的全是手工收集病毒、木马。主要方法就是有专人去论坛、网站进行收集,与国外大厂商合作,用户上报等,但没有一个厂商提出是采用蜜罐方式进行自动收集的。是什么原因?技术?水平?不想做?就当是商业机密吧* ^。
名词解释
Honeynet
其实Honeynet是一种特殊的Honeypot。首先它是一个网络系统,而这个网络是隐藏在防火墙之后的,所有进出的信息都会受到监控。而且在Honeynet中的系统也都是标准的电脑,而不会使用Honeypot那样的虚拟设备。而且也没有故意地去模仿某些环境或是让系统不安全。Honeynet主要是用于学习如何入侵系统的工具
揭秘!杀毒软件公司的诱捕蜜罐相关推荐
- 工业诱捕——蜜罐实操
蜜罐实践--使用HFish进行诱捕 蜜罐技术是工业诱惑捕捉技术的一种,其作用是通过虚拟出来的一台带有多种漏洞的主机,吸引攻击者主动攻击,以此来吸引攻击流量和样本.本文章主要围绕如果搭建蜜罐及捕获攻击者 ...
- 杀毒软件公司在网络上设置“诱捕蜜罐”
在热带有一种叫做猪笼草的植物,它通过身体一个像"罐"状的部分分泌蜜汁来吸引小昆虫,然后诱捕它们,作为食物.可是您知道吗?在现在的网络中也有着一个相似的东西,它就是网络蜜罐. 杀毒软 ...
- 你熟知的那个杀毒软件公司McAfee,用这种方法骗过护照人脸识别系统
选自mcafee.com 作者:Steve Povolny.Jesse Chick 机器之心编译 编辑:杜伟 当你自己与其他人的图像高度匹配时,人脸识别系统还能发挥其作用吗?网络安全公司McAfee生 ...
- 揭秘拳头公司的游戏API: 充分发挥ZUUL的性能
本文Riot游戏API系列文章的第三篇.我们第二篇中提到,在API前端架设了Netflix公司开发的Zuul代理服务器.我们选择Zuul是因为Netflix最初构建这个项目就是为了处理庞大的日流量,因 ...
- 揭秘大公司区块链之路:迅雷是如何成为区块链领军者的?
点击上方"蓝色字"可关注我们! 编辑:铅笔盒 有人说,区块链是21世纪最伟大的发明:也有人说,区块链是最有争议的科技之一.无论技术未来会走向何方,显而易见的是,在机会面前,谁都不甘 ...
- 揭秘浑水公司及全面尽职调查方法
2020年4月2日,瑞幸咖啡在SEC(美国证券交易委员会)新公布的一份文件显示,公司COO及其部分下属员工从2019年二季度起从事某些不当行为,伪造交易相关的销售额约为22亿元. 2020年4月8日, ...
- 前Facebook员工揭秘硅谷公司招人“潜规则”
有好多朋友问硅谷公司招工程师的基本流程. 作为应聘者, 我试过Facebook, Google, Yahoo, Oracle, 均拿过offer; 作为面试人员, 面试过不下于300余人, 清楚大概流 ...
- NLP系列(3)_用朴素贝叶斯进行文本分类(下)
作者: 龙心尘 && 寒小阳 时间:2016年2月. 出处:http://blog.csdn.net/longxinchen_ml/article/details/50629110 h ...
- NLP——4.朴素贝叶斯
1. 引言 贝叶斯方法是一个历史悠久,有着坚实的理论基础的方法,同时处理很多问题时直接而又高效,很多高级自然语言处理模型也可以从它演化而来.因此,学习贝叶斯方法,是研究自然语言处理问题的一个非常好的切 ...
最新文章
- 滴滴算法大赛算法解决过程 - 拟合算法
- 如何看exe文件源代码_杀进程、删文件...看新型勒索软件RobbinHood如何干掉杀毒软件...
- 将redis作为windows服务安装
- 最新版本sublime text3注册码
- 怎么让网页中的文字两边留出空白_横线、方格、点阵、空白本,谁才是笔记本中的C位?...
- 匿名内部类 可以访问外部类_Java 内部类与外部类的互访使用小结
- 《记》rxjs分流操作符简单实现
- c++ vector 使用注意事项
- VMware Workstation环境下的Linux网络设置
- Windows下DOS操作系统(cmd)详解
- Python爬取豆瓣高分电影Top250
- 江苏2021高考成绩查询全省排名,江苏高考排名查询方法,2021年江苏高考成绩位次全省排名查询...
- Python数据可视化Matplotlib学习
- 达索系统SPDM面向管理者的企业级仿真流程管理平台
- 新浪微博开发平台试用
- 节卡JAKA机械臂培训笔记(偏入门)
- 消息队列消息丢失和消息重复发送的处理策略
- ROSCon2018国际会议讲座录像和讲稿PPT
- java 日期计算星座_Java日期时间API系列25-----Jdk8中java.time包中的新的日期时间API类,使用MonthDay计算十二星座。...
- Java 8新特性:Optional类