自制蜜罐之前端部分
自制蜜罐
背景
生产系统的内网部署蜜罐后可以监控到黑客对内网的探测及攻击行为,方便安全工程师第一时间发现被入侵并及时止损,防止出现公司重要数据被窃取却浑然不然的情况。 所以我们有必要在重要业务的内网机房部署蜜罐。
需求
- 第一时间发现攻击者
- 攻击行为及指纹记录、识别
- 覆盖到全部的协议及端口
目前市面上已经有许多商业或开源的蜜罐系统,如awesome-honeypots中收集了大量的开源的蜜罐系统, 但是这些开源的蜜罐系统存在以下问题:
- 安装、部署比较复杂、繁琐,学习成本高
- 自定义或扩展功能的成本高
- 覆盖不到全部的协议及端口
- 开发进度滞后,没有覆盖到最新的redis、elastic、stuct2等漏洞的利用的监控
所以我们有必要自己开发一套易于部署、覆盖全端口全协议及最新漏洞的蜜罐系统。