20CN网络安全小组论坛 - 菜鸟乐园

论坛: 菜鸟乐园标题: 普及honeypot知识

作者: dinner1984 [dinner1984]

论坛用户

普及honeypot知识
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－www.honeypot.com.cn
这个网站专门介绍honeypot的，但我不知道honeypot有什么用？
网站说：
honeypot是简单的
欢迎大家介入最新的一流技术――honeypot。通过它你可以知道黑客是如何攻击系统的,你可以反败为胜，捕获黑客！
用这些技能和知识武装自己，以追踪这些攻击者，并独立地了解他们。

Honeypot不愧为一种令人振奋的技术，不仅可以教给你大量关于黑客的知识，而且还可以教给你关于自身和安全的一些概括性知识。

欢迎广大黑客技术爱好者、honeypot爱好者加入我们，我们共同交流，共同进步！

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Honeypot FAQHoneypot FAQ

这篇文章解决了honeypot的基础性问题，包括什么是honeypot,他的价值是什么，如何让他工作以及honeypot的种类。这些问题大多数来从honeypot mailing list整理出来。
常规性问题：

什么是honeypot？

honeypot工作方式？

honeypot的价值是什么？如何让他为我们工作？

Honeypot的优点是什么？

Honeypot的缺点是什么？

Honeypot的分类？

哪一类honeypot的是最好的？

我从来都没有使用过honeypots，我应该从哪里开始？

在honeypot中我能够学到什么？

1、什么是honeypot？
Honeypot是一种安全资源，他的价值体现在被探测、攻击或者摧毁的时候。
他的工作方式与防火墙或者IDS不同，honeypots是一种让黑客入侵的机制，然后分析黑客的入侵方法。你如果想了解更多有关honeypot的话，可以看看honeypots的定义和价值（超级链接）。如果有兴趣，你也可以开发自己的honeypots，在互联网上有很多honeypots的源代码。而且还有许多honeypot的商业解决方案（超级链接）。

2、honeypot工作方式？
honeypot的工作方式很简单，把一台没有重要信息的机器放在局域网中，并且不让他进行对外服务。那么，一旦有有外部环境对这台机器进行连接的话，那么，我们可以认为这是一种非法的活动。例如：在局域网里有人在扫描局域网内机器的漏洞，或者是黑客扫描局域网内的机器，那么入侵者有可能扫描到honeypot，honeypot就能够轻易检测并记录下发生这次入侵的时间和行动，并能对这次扫描作出模拟回应，以获取更多入侵的信息。

3、honeypot的价值是什么？如何让他为我们工作？
Honeypot与其他安全检测系统相比，他具有自己独特的工作方式，他不能解决具体问题。但是，他却是一个具有高灵活的工具，能够帮你实现你的想法。一些honeypot用来阻止黑客入侵，一些是用来探测入侵信息，还有一些用来搜集病毒攻击信息和黑客入侵信息。

4、Honeypot的优点是什么？
Honeypot有以下5个优点：
1）搜集信息量少。Honeypot虽然搜集少量的信息，但这些信息都是真正的入侵信息或非法活动。大多数honeypot每天搜集的信息不足1MB，与那些每天得到5000多个警报，10GB?? log的机制相比较，这些信息可分析度极高。当honeypot产生连接活动的时候，honeypot能够迅速分析并针对攻击类型进行有效的响应。（响应有警告入侵者，也有可能是与入侵者进行模拟对话。这些响应根据honeypot的策略所设置的）

2）减少错误报警数量，提高报警有效性：许多计算机防御机制（例如：IDS）的报警中有许多错误报警，管理员很难在数量众多的警报中分辨出那些是真正的入侵式报警。而honeypot中的任何一次连接，攻击，或者是针对漏洞的扫描，都是别有用心的活动，因为honeypot是一台静止、不主动对外连接的机器。也就是这个原因，honeypot的报警有效性远高于其他安全机制。

3）鱼死网破性：与其他技术相比较，honeyot能够很轻易地搜寻黑客的踪迹、与黑客对话、获取原始病毒数据，且不担心本身被黑客攻破，因为他的价值在于被黑客攻破，他早已做好被攻破的准备。

4）运行环境不苛刻：honeypot仅仅与那些与他本身有连接的活动进行检测，他并不需要在很高的硬件环境下运行，或者是在特殊的操作系统中运行。许多honeypot仅需要运行在128MB内存的机器上。

5）简捷性：简捷性是honeypot的一个最大特点，他不需要你学习高深的计算机算法来开发，也不需要你懂得很多高深的计算机知识。每一个懂得计算机基础知识的人都能够很快使用honeypot，并用他来了解黑客的入侵伎俩以及病毒入侵系统的方式，了解黑客的思维。通过这些知识，提高自己的计算机水平，加强自己使用计算机的安全意识。从这个角度来说，honeypot确实是学习黑客技术的一个好方法。

5、Honeypot的缺点是什么？
Honeypot也有缺点。这也就是他的出现并没有取代其他安全机制的原因。主要有以下两点：
1）视野的局限性：honeypot仅仅能够检测那些与他们进行连接的入侵。他们不能够探测到那些对其他机器进行入侵的信息。

2）风险性：使用honeypot具有一定的风险性，风险的大小取决于你对honey的配置、网络知识的了解以及针对入侵采取的措施。一旦病毒攻破honeypot，通过他来攻击其他的机器，那么，honeypot所在的网络将会从内部崩溃，导致同网络安全性能的下降。

6、Honeypot的分类？
一般来说，我们把honeypot分为两类：低级交互honoeypot和高级交互honeypot。交互性能高低取决于honeypot获取入侵信息的能力、与黑客会话能力。低级交互能力的honeypot仅仅是模拟一些服务，如：FTP,TELNET服务等。而高交互能力的honeypot并不是模拟这些服务，是实实在在对与黑客进行真正响应。我们可以理解为他是一台计算机（一个典型的高级交互honeypot是honeynet）。高、低交互能力的honeypot在不同情况下所展现处的优势、烈士各有不通，他们之间并没有谁是最好的问题。低交互能力的honeypot易于配置、低风险（黑客在honeypot中能控制的少），但是低风险性导致获取的信息很少，自己学习的知识也减少。一个高交互性能的honeypot能让你学到更多安全方面的知识。因为黑客入侵的是一个真正的操作系统。你可以分析黑客入侵的步骤，从而得出黑客入侵的方法和思路。然而，这些都是需要付出代价的，你的服务提供越多，风险越大。但是我认为，这些都是很值得的。

7、哪一类honeypot的是最好的？
真正的最好是不存在的。低级（交互）honeypot和高级（交互）honeypot都有他们各自的有点和缺点。如果你想研究检测或窃取信息方面的技术，低级honeypot是一个好的选择。如果你想涉足于安全领域各方面的信息，你应该考虑高级honeypot解决方案。

8、我从来都没有使用过honeypots，我应该怎样入门？
如果你刚刚认识honeypot，并且对这种技术很有兴趣，那么我们建议你学习BackOfficerFriendly。这是一个非常简单、基础的honeypot，并能在windows系统上运行。虽然BackOfficerFriendly功能有限，但他能让你全面地了解什么是honeypot（并且是免费的）。如果你的计算机水平不错，可以考虑使用Honeyd，他运行在Unix系统，网上有源代码，你可以对他进行修改，达到你所需要的功能。

9、在哪里我能够学到更多有关honeypot的知识？
最好学习honeypot的方法是去各个安全论坛学习安全知识。不过我们也希望大家多来www.honeypot.com.cn学习honeypot知识。因为本站针对honeypot技术进行系统、全面的介绍和分析。目前是中国最系统学习honeypot的网站。网站将会不断提供国外最新技术。并把国外人好的思路带给大家。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

顺便问一句，我这算不算做广告？
呵呵
我是站长，QQ：603975081 EMAIL:honeynet@163.com
网站正在发展之中，广招贤才！

顺便说一句：别说我不厚道啊！～

地主发表时间: 06-01-18 16:34