蜜罐，就是用来当炮灰的！

蜜罐的类型

世界上有形形色色的生物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，用于不同场合、不同目的的蜜罐需要开放不同的漏洞并做不同的设置。因此，就产生了多种多样的蜜罐。

实系统蜜罐

实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是原始系统，没有任何安全补丁，或者打了低版本的SP补丁，根据管理员需要，也可能补上了其他一些漏洞――最重要的是，值得研究的漏洞没有被补上即可。蜜罐系统安装、设置好以后，就可以把蜜罐连接上网络。根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统后台运行着的记录程序会记下入侵者的一举一动。需要注意的是，这种蜜罐虽然最有效，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。

伪系统蜜罐

什么叫伪系统呢？不要误解成“假的系统”，它也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”。

大家应该都知道，世界上操作系统不是只有Windows一个，在这个领域，还有Linux、Unix、OS2、BeOS等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同。简单地说，就是很少有能同时攻击几种系统的漏洞代码，也许你用LSASS溢出漏洞能轻易拿到Windows操作系统的权限，但是用同样的手法试图去溢出攻击Linux只能是徒劳无功。根据这种特性，就产生了“伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”。黑客入侵这样的蜜罐，只能是在一个程序框架里打转，即使成功“渗透”，也仍然是程序制造的梦境――系统本来就没有让这种漏洞成立的条件，谈何“渗透”？

实现一个“伪系统”并不困难，Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具都能轻松实现，甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”，让入侵者自以为得逞地在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。

伪系统蜜罐的好处在于，它可以最大程度地防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些Windows蠕虫攻击Linux――只要你模拟出符合条件的Windows操作系统特征！但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破蜜罐的伪装。另外，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。

使用你的蜜罐

既然蜜罐不是随随便便做来玩的，管理员自然就不会做个蜜罐然后让它赋闲在家，那么蜜罐做来到底怎么用呢？

迷惑入侵者，保护服务器

在一般的客户/服务器模式下，浏览者是直接与网站服务器连接的，换句话说，整个网站服务器都暴露在入侵者面前，如果服务器安全措施不够，那么整个网站的数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐，让蜜罐作为服务器角色，真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射，这样就可以把网站的安全系数提高，入侵者即使渗透了位于外部的“服务器”，也得不到任何有价值的资料，因为他入侵的只是蜜罐而已。

可能有人会问：难道入侵者就不能在蜜罐的基础上跳进内部网络进而对真正的服务器进行破坏吗？是的，高明的入侵者的确可以做到这一点。但那要比直接攻下一台外部服务器复杂得多，许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏，可是不要忘记了，它本来就是专门用来给人破坏的角色。

在这种用途上的蜜罐不能再设计得漏洞百出了。因为这个蜜罐既然成了内部服务器的保护层，就必须要求它自身足够坚固，否则，整个网站都要“拱手送人”了。

抵御入侵者，加固服务器

入侵与防范一直都是信息安全领域倍受用户、信息安全专家以及黑客关注的热点。如果能够在入侵者和服务器之间插入一个蜜罐环节的话，将会使防范变得有趣。这样一来，这台蜜罐被设置得与内部网络服务器一样，当一个入侵者费尽力气入侵了这台蜜罐的时候，管理员已经收集到足够的攻击数据来加固真实的服务器。

采用这个策略去布置蜜罐，需要管理员配合监视，否则如果入侵者成功攻破了蜜罐，真正的服务器可能就有危险了。

诱捕网络罪犯

“诱捕网络罪犯”是一个相当有趣的蜜罐应用，当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成为肉鸡的时候，如果技术能力允许，管理员会迅速修复服务器。那么下次呢？既然入侵者已经确信自己把该服务器做成了肉鸡，他下次必然还会来查看战果，难道就这样任由他放肆？一些高明的网络管理员绝对不会就此罢休，他们会设置一个蜜罐模拟出已经被入侵的状态，做起“姜太公”。同样，一些企业为了查找恶意入侵者，也会故意设置一些有不明显漏洞的蜜罐，让入侵者在不起疑心的情况下乖乖被记录下一切行动证据，有些人把此戏称为“监狱机”，通过与电信局的配合，可以轻易揪出IP源头的那双黑手。

结语

随着网络入侵类型的多样化发展，蜜罐也必须进行多样化的演绎，否则它有一天将无法面对入侵者的肆虐。这也对网络管理员的技术能力有了更高的要求，因为蜜罐――这个活跃在安全领域的虚拟演员，它的一举一动，都是通过你来设计的，我们无法让蜜罐像T-X那样变化无常，但是，至少要防止我们设计的“阿诺”再次被T-X踏断脖子注入反叛指令。