超级高手进

蜜罐
“蜜罐”这一概念最初出现在1990 年出版的一本小说《The Cuckoo’s Egg》
中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起
商业间谍案的故事。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner
给出了对蜜罐的权威定义[1]：蜜罐是一种安全资源，其价值在于被扫描、攻击和
攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流
量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进
行监视、检测和分析。
蜜罐技术的发展历程可以分为以下三个阶段。
从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思
想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐
实质上是一些真正被黑客所攻击的主机和系统。
从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出
一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、
Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业
蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模
拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从
2000 年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭
建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的
工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追
踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
[编辑本段]
蜜罐的分类
蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的