物联网蜜罐

1、蜜罐

1.1 定义

蜜罐是一类没有实际业务用途的网络安全资源,本质是一种对攻击方进行欺骗的技术。
蜜罐是一种安全资源，没有任何业务上的用途，价值就是吸引对方对他进行非法利用。

1.2 作用

对攻击方进行欺骗，通过部署一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的方法和工具，推测攻击意图和动机，以便于防御方清晰了解自身所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

2、物联网蜜罐

物联网终端设备存在的安全威胁：

• 缺乏身份认证: 物联网设备直接跳过了用户的身份验证环节，无法识别用户是否具有访问权限，不能有效控制用户的访问
• 使用默认配置: 大部分物联网设备在出厂时都会设置默认的用户名和密码，并且部分设备本身无法改变默认的用户名和密码
• 固件不更新: 固件中存在问题甚至是漏洞
• 网络安全性薄弱: 由于网络本身防火墙等存在缺陷，或者未及时更新防火墙的配置，导致攻击者利用网络缺陷可悄无声息地渗透到物联网系统中，对物联网设备发动攻击

物联网蜜罐概念

指以物联网计算、网络、感知及执行等资源为诱饵, 部署于真实物联网设备周边，具有物联网安全威胁发现、捕获、分析和告警功能，保护真实物联网设备的网络欺骗技术。

主要思想

通过对物联网终端系统进行高相似度的仿真，诱骗攻击者对虚拟终端实施攻击意图，捕获到更多有价值的攻击样本，加强系统安全防护。

2.1 构成

• 物联网诱饵环境
• 监控模块

物联网终端蜜罐在部署之前对应蜜罐所模拟的主要功能，编写配置文件，完成系统各模块的配置。模拟物联网终端设备控制程序，仿真终端设备系统的环境，充分起到迷惑欺骗攻击者的效果，攻击者误以为已经进入真实的物联网终端系统.

一开始，蜜罐系统有目的性地开放特定的端口并运行特定的服务，引诱攻击者与蜜罐建立端口连接，远程弱口令登陆蜜罐。攻击者成功登陆后就自动进入蜜罐模拟的物联网终端系统中，通常在攻击者进入系统后向攻击者显示当前模拟的终端设备信息和协议信息，或者是向攻击者展示当前模拟的终端系统场景。

eg：攻击进入以后，不断播放展示摄像头直播画面，目的是欺骗攻击者对当前模拟的物联网终端系统深信不疑。诱骗攻击者远程登陆蜜罐后，然后才会进入具体的攻击过程，实施攻击操作。

物联网终端蜜罐系统可对攻击者的行为和信息进行记录，记录攻击者的 IP 地址、MAC地址、开放的端口、运行的服务等基本信息，以及攻击者对蜜罐执行的所有的操作命令都能够被完整地记录。完整的攻击样本数据为安全人员后续的分析利用提供了宝贵的资源信息。

2.3 应用价值

被动防御转为主动型防御,面对破坏力极强的大规模入侵，不仅仅是只能进行弥补系统漏洞加固系统防御，除了完善自身系统以外，甚至已经能够实现反向渗透、反向控制攻击者主机。应对入侵出击这方面取得较大的突破，很大程度上提高了终端系统的入侵防护能力。

• 有利于蜜罐系统捕获到更多更全面的针对物联网终端的攻击样本数据
• 根据样本数据分析攻击者的攻击方法和手段
• 通过分析，了解当前物联网系统的缺陷所在，结合已有的防护措施作出改进，加强真实的物联网终端系统的防御能力
• 引诱攻击者攻击以后，蜜罐可对攻击者执行反向的操作
  • 反向扫描攻击者主机开放的端口和服务，尝试登录攻击者主机
  • 对攻击者主机进行反向渗透，实现对攻击者主机的强有力的控制

2.3 分类

应用类型

• 工控蜜罐：模拟联网的工业控制设备

• 消费级物联网蜜罐：以网络摄像头、打印机等网络实体设备为参考对象, 分析这些设备所遭受的攻击来源和行为特征

• 信息物理系统蜜罐
  是一个综合计算、网络和物理环境的多维复杂系统，是集成计算、通信与控制于一体的下一代智能系统。通过人机交互接口实现和物理进程的交互，使用网络化空间以远程的、可靠的、实时的、安全的、协作的方式操控一个物理实体。

交互类型分类

• 低交互类型
  • 仅实现物联网诱饵接口模拟的蜜罐
  • 捕获攻击 IP、端口、协议、请求载荷等威胁信息
• 中交互类型
  • 能够实现设备系统执行环境模拟的蜜罐
• 高交互类型
  • 高交互蜜罐能够实现物联网信息空间与物理空间执行及操作环境模拟。提供给攻击者一个真实的操作系统，攻击者可以与其进行充分的交互

诱饵类型分类

• 实物蜜罐：原装的软硬件设备作为物联网诱饵的蜜罐。拥有真实的硬件、操作系统和应用服务, 具备对未知攻击较强的响应能力,往往对攻击者有极大的引诱性

• 虚拟蜜罐：通过预先设定的诱捕需求, 用软件模拟相关操作系统和业务, 诱导攻击者入侵隔离的虚拟诱饵环境

• 半实物蜜罐：同时采用实物与软件仿真的蜜罐.

2.4 形态

基本形态就是如下：

2.5 发展

物联网蜜罐按时间顺序依次从工控蜜罐、消费级物联网蜜罐以及信息物理系统蜜罐三条主线开展研究。

3、与蜜罐的异同

相同

• 组成一样：都是由诱饵环境和监控环境组成。
• 单一数据点：只能发现针对自己的行为，如果攻击者没有攻击蜜罐，而是闯入真实的设备或系统中，这时候发现不了问题。
• 指纹：指纹的存在会让攻击者容易发现蜜罐的存在，此时发送大量错误数据将会导致错误分析得出错误结果
• 风险高：吸引攻击者攻击，也会将风险带到网络中，如果一单受控，可能会被利用，从而对系统造成更大的威胁

异同

• 物联网蜜罐具有很大的物理融合性。
  物联网蜜罐参考的业务通常与物理空间感知和操作相关, 如机械操作、图像传输、温度传感等。物联网诱饵环境在构造过程中需兼顾物理空间和信息空间的融合仿真, 以实现深度的交互能力。
• 诱饵多样性。物联网蜜罐硬件平台多源异构，异源异构，不同厂商或型号的操作系统和多源异构的硬件模块,例如基于不同的CPU架构，不同的操作系统，多样化的硬件资源。同时, 多样化诱饵环境也对数据捕获和安全控制的能力提出了更高的要求

4、物联网蜜罐的关键技术

4.1 重定向技术

通过连接不同地理空间或不同类别的诱饵环境, 进行统一的攻击诱导、流量分配和数据采集。
根据攻击特征对攻击流进行切换，通过重定向功能将恶意流量重定向到响应的蜜罐中，例如：端口重定向。

4.2 蜜罐识别与反识别技术

一旦攻击者识别出蜜罐，则蜜罐将失去意义。

反蜜罐

蜜罐识别就是反蜜罐，本质就是分析蜜罐和真实设备之间的差异，通过检测蜜罐各类指纹特征对蜜罐进行区分。下面将对相关的蜜罐识别特征进行简单阐述。

1、时间差异

6、其他蜜罐文章
Cowrie：
i春秋：
Glastopf蜜罐：开源的低交互的蜜罐，它模拟了一个易受攻击的web服务器
T-pot蜜罐：
debian环境安装：

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树跨区域网络的通信学习网络层的作用22321 人正在系统学习中

来源：小球学前端