隨著攻防演習(xí)日益實(shí)戰(zhàn)化、常態(tài)化使得蜜罐從十幾年的老安全技術(shù)煥發(fā)新春，基于蜜罐演進(jìn)而來(lái)的欺騙防御也因此而名聲大噪，越來(lái)越多的安全廠商已經(jīng)將資源投入到此技術(shù)領(lǐng)域。在最近信通院組織的蜜罐產(chǎn)品能力評(píng)測(cè)中，參與的主流廠商有36家之多。蜜罐技術(shù)火熱的背后，是蜜罐技術(shù)可有效彌補(bǔ)當(dāng)前網(wǎng)絡(luò)安全防御方案短板的巨大推力，同時(shí)，趨于常態(tài)化的攻防演習(xí)也是最大的催化劑之一。在過(guò)去的攻防演習(xí)中，蜜罐不僅展示出面向攻擊優(yōu)秀的誘捕和溯源能力，在日常安全運(yùn)維中也體現(xiàn)出了不可或缺的獨(dú)特價(jià)值，這可能才是蜜罐真正的生命力。

基于對(duì)蜜罐技術(shù)的研究，結(jié)合對(duì)開(kāi)源蜜罐項(xiàng)目和商用欺騙防御類產(chǎn)品的調(diào)研和分析，本文將從對(duì)當(dāng)前蜜罐產(chǎn)品使用的新技術(shù)介紹出發(fā)，來(lái)看未來(lái)欺騙防御的發(fā)展走向。

1. 環(huán)境仿真

傳統(tǒng)蜜罐通常提供的是“單維”的仿真，仿真特定的主機(jī)、服務(wù)、應(yīng)用環(huán)境等；而最新的蜜罐則需要的是“多維”的仿真能力，在之前的基礎(chǔ)上，可以結(jié)合用戶真實(shí)網(wǎng)絡(luò)或業(yè)務(wù)環(huán)境去定制環(huán)境仿真配置和數(shù)據(jù)。從而提供一個(gè)和用戶真實(shí)環(huán)境相近、能夠有效迷惑攻擊者的仿真誘捕環(huán)境。試想，如果一個(gè)完整的虛擬環(huán)境，部署在用戶真實(shí)網(wǎng)絡(luò)之前，不僅可以有效推遲攻擊者進(jìn)攻的步伐，還可以獲得攻擊者的攻擊方式和行為邏輯等信息。

環(huán)境仿真技術(shù)主要包括軟件仿真技術(shù)、容器仿真技術(shù)、虛擬機(jī)仿真技術(shù)等，幾類仿真技術(shù)所能提供的仿真能力和支持仿真的類型示意如下：

2. 攻擊誘導(dǎo)

攻擊誘導(dǎo)的目標(biāo)就是通過(guò)技術(shù)手段在攻擊者進(jìn)入網(wǎng)絡(luò)后主動(dòng)引誘攻擊者進(jìn)入到泥沼當(dāng)中不能自拔，在有限的仿真環(huán)境下提升命中率。常見(jiàn)的攻擊誘導(dǎo)技術(shù)包括：誘餌投放、流量轉(zhuǎn)發(fā)、虛擬IP等。在典型攻防演習(xí)場(chǎng)景中，攻擊誘導(dǎo)技術(shù)可以將主動(dòng)權(quán)互換，成為防守方獲取主動(dòng)權(quán)的利器。

2.1. 誘餌投放

誘餌是投放在互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)里的各種留給攻擊者的虛假情報(bào)，很多情報(bào)是都極具誘惑力，誘導(dǎo)攻擊者快速進(jìn)入被控狀態(tài)。

根據(jù)類型和用途不同，可以分為日志誘餌、證書(shū)誘餌、賬戶誘餌、郵件誘餌、項(xiàng)目代碼誘餌等。誘餌包括IP地址、用戶賬戶、服務(wù)應(yīng)用路徑、密碼本等信息，當(dāng)攻擊者獲取誘餌里的信息后，一般會(huì)順藤摸瓜，沿著誘餌里線索提供的主機(jī)、服務(wù)、應(yīng)用進(jìn)行深入滲透，進(jìn)而將攻擊者引誘到陷阱之中。誘餌投放工作示意圖如下：

2.2. 流量轉(zhuǎn)發(fā)

通過(guò)流量轉(zhuǎn)發(fā)可以實(shí)現(xiàn)將攻擊者試圖訪問(wèn)正常資產(chǎn)的攻擊流量主動(dòng)轉(zhuǎn)發(fā)到仿真環(huán)境里。常見(jiàn)的流量轉(zhuǎn)發(fā)實(shí)現(xiàn)技術(shù)包括網(wǎng)絡(luò)轉(zhuǎn)發(fā)和主機(jī)轉(zhuǎn)發(fā)。

1、主機(jī)轉(zhuǎn)發(fā)：一般需要在主機(jī)上部署探針軟件，探針用于監(jiān)測(cè)客戶未使用的網(wǎng)絡(luò)端口來(lái)虛擬真實(shí)服務(wù)，通過(guò)探針將試圖訪問(wèn)這些端口的異常連接請(qǐng)求轉(zhuǎn)發(fā)到仿真環(huán)境里；

2、網(wǎng)絡(luò)轉(zhuǎn)發(fā)：根據(jù)威脅線索通過(guò)動(dòng)態(tài)調(diào)整網(wǎng)關(guān)設(shè)備策略等方式來(lái)將異常流量直接導(dǎo)入到仿真環(huán)境里。

流量轉(zhuǎn)發(fā)工作示意圖如下所示：

2.3. 虛擬IP

虛擬IP，顧名思義就是給單個(gè)主機(jī)綁定多個(gè)IP地址，通過(guò)在仿真環(huán)境里將IP資源綁定到蜜罐誘捕環(huán)境上來(lái)批量生成虛擬資產(chǎn)，提高蜜罐的覆蓋率，虛擬主機(jī)，增加攻擊者攻擊蜜罐的概率。

虛擬IP工作示意圖如下所示：

3. 溯源反制

傳統(tǒng)的基于IP的溯源方法對(duì)攻擊者的身份信息獲取十分有限，很難及時(shí)對(duì)攻擊者進(jìn)行有效溯源和反制。蜜罐系統(tǒng)則給了防守方以反制攻擊者的機(jī)會(huì)，通過(guò)蜜罐里預(yù)設(shè)的反制手段，主動(dòng)獲取攻擊者主機(jī)或者網(wǎng)絡(luò)的信息，來(lái)更準(zhǔn)確的定位攻擊者的身份，實(shí)現(xiàn)更精準(zhǔn)的溯源。在典型攻防演習(xí)場(chǎng)景中，防守方只需要獲得虛擬身份即可，directadmin安裝，一個(gè)優(yōu)秀的蜜罐系統(tǒng)完成這個(gè)任務(wù)可謂手到擒來(lái)。

常用的溯源反制技術(shù)包括：WEB反制、掃描反制、密標(biāo)文件反制等方式。

3.1. WEB反制

攻擊者在瀏覽網(wǎng)站或WEB應(yīng)用頁(yè)面時(shí)，會(huì)下載頁(yè)面數(shù)據(jù)、腳本文件在用戶本地解析執(zhí)行、渲染展示。利用這個(gè)特性，將反制腳本嵌入到正常的網(wǎng)站或WEB應(yīng)用頁(yè)面里，攻擊者訪問(wèn)時(shí)也會(huì)將反制腳本自動(dòng)下載到攻擊者本地運(yùn)行來(lái)獲取溯源信息。WEB反制是較常用的反制手段，可獲取的典型溯源信息包括：