攻防演练中的蜜罐，不在于他有多蜜，而在于他有多密

在电影《达芬奇密码里》，馆长在临死前透露Keystone在巴黎圣苏比教堂里的玫瑰经线下，实际上这就是一个蜜罐，通过圣杯守护者投递，一旦有人去取，就会触发反制。

蜜罐出现比较老了，以前没什么用，但是现在又开始火了。

如果攻防演练的时候你没有蜜罐，那你可能一开始就输了。

虽然你可能在各个区域都部署了全流量探针，但是你还是需要一个蜜罐。

• 一个独立的系统，作为全流量分析的补充，防止你全流量探针挂掉的时候他还是工作的，而且这个系统是简单的
• 成本远低于全流量探针，在树莓派上安装个免费开源的分布式蜜罐，就可以二级单位乱放

蜜和密

攻防演练中的蜜罐，不在于他有多蜜，而在于他有多密！！！

而这个密，也包含两重意思。

蜜我们可以认为是仿真度，但是仿真度意义不大。

为什么甜蜜的“蜜”没有意义

攻防中，我们部署蜜罐的目的在于

• 消耗攻击队资源
• 发现攻击队《ATT&CK网络攻击入侵分类说明指南》里面说到的Discovery，也就是内网扫描
• 溯源反制

只有最长的那条才是最重要的。蜜罐仿真的成本很高，定制类的仿真不亚于一个系统建设的成本，但是不管怎么样，还是很容易被攻击队识别到。所以，有钱也不要投入在这里。

“密”所包含的两重意思：密集和秘密

能有多密集？？？

蜜罐的形态有高交互蜜罐、低交互蜜罐和无交互蜜罐，部署位置或者说入口可以是外网、内网、主机、域名子目录、邮件账户、GitHub、服务器或者终端桌面、数据库或配置文件中。

所以可以密集到排列组合上面的所有组合。

高交互蜜罐

高交互蜜罐只是用来消耗攻击队时间，不处置，因为扫描导致的误报率太高了，所以布了就算了，可以部署在外网，内网。

部署在外网的，需要考虑监管部门的通报，部署使用的域名可以使用历史上有出过问题，在网络空间资产搜索引擎里被记录存在问题的域名。

一旦攻击队在网络空间资产搜索引擎里查到问题域名，他就会陷入。

高交互蜜罐从系统二级目录引流

比如把门户网站的/admin目录导向蜜罐，如果你是使用反向代理，这个事情做起来比较容易。

低交互蜜罐分布式部署到各个安全域

使用分布式蜜罐，每个二级单位放一个，每个网段放一个，把所有空余IP全部利用起来，如果一个C段有10个IP是业务IP，那蜜罐就监听255-10吧！

主机EDR类起端口型蜜罐

如果你蜜罐部得多，攻击队会变得小心，他只会扫描他所控制的服务器历史上连接过的IP，这时候主机EDR监测就起到很大的作用了。

邮件诱饵发到每个账户

发送类似“VPN账户信息”到部分账户。

文件诱饵放到每个服务器、每个终端

不嫌麻烦，你投递诱饵的同时，实际上也是在向终端用户宣贯，不要把明文密码放在邮件系统和电脑里。

蜜标放在数据库内

比如把蜜标放到用户表里，一旦有人拖库，从审计平台可能可以感知到。

需要多秘密？？？

• 不要告诉别人你布了蜜罐（我是违反了这条规则了。。。），采购蜜罐的招投标项目名字换个吧，提醒蜜罐厂商从他的官网和PPT案例库里把你删除掉
• 蜜罐监听的端口最好不要有任何回应，黑暗森林法则，有回应，就会被识别。退化到只检测
• 邮件诱饵不要放跟踪代码，太容易被识别，Word、PDF还可。
• 可以经常变换IP，业务和蜜罐IP都可以变

这么多蜜罐，看起来好乱

蜜罐部得太多，特别是起了很多IP、网站和二级目录，会对你的网络环境有很大的干扰，但是这个没关系，互联网上从来就是垃圾比有用的多得多，你需要使用一个系统管理起来。

在前面说到的投递、变更和回收，如果你有反代，有EDR，这些事情会比较容易做。比如反代有API，你一秒可以部署很多个二级目录的蜜罐入口出来。

比如邮件诱饵的投递，如果你只是群发邮件，那邮件发送的时间太接近攻防演练时间，邮件的内容变更麻烦，回收麻烦。如果邮件系统天然支持邮件诱饵的投递，那一切会变得简单，比如可以任意伪造发送时间，打开邮件跟踪，就放在系统直接做掉。