图片46
蜜网(Honeynet)与传统的蜜罐(Honeypot)相比,有三个最大的区别。
①Honeynet是一个网络系统,而不是某个单一的主机。这个网络系统隐藏在防火墙之后,所有进出的数据都将被集中起来,捕捉和控制。捕捉到的数据有助于我们研究分析入侵者所使用的工具、方法和动机。Honeynet上提供了多种操作系统和设备,比如Solaris,Linux,Windows NT,Cisco Switch等等。这种构建的网络环境看起来更真实、可信,同时我们也在不同的系统平台上运行不同的服务,比如Linux的DNSserver、Windows NT的网络服务器或Solaris的FTPserver。通过了解不同的工具和不同的战略,也许有些入侵者只针对少数具体的系统漏洞,而一个多元化的系统可能会暴露出更多的入侵特征。
②Honeynet上的所有系统都是标准机器,运行在这些机器上的都是真正完整的操作系统和应用。Honeynet并没有有意模仿某些环境,或是有意让系统不安全。Honeynet内发现的有风险的系统,与某些因特网系统不同。在Honeynet上安装一个普通的操作系统并不会影响到整个网络。
③Honeypot通过将系统的漏洞暴露给入侵者,或蓄意使用某些极具诱惑性的假信息(例如战略目标,年度报告等等)来诱骗入侵者。这一点在追踪入侵者的同时,也会招致更多潜在的入侵者(他们出于好奇)。此外,还应在实际系统中运行入侵检测系统,当检测到入侵行为时,就可以对其进行欺骗,从而使系统得到更好的保护。Honeynet是基于入侵检测来诱骗入侵的,这与当前Honeypot系统的理论有很大不同。
