蜜罐 (计算机科学)

蜜罐（英语：honeypot）是一个电脑术语，专指用来侦测或抵御未经授权操作或者是黑客攻击的陷阱，因原理类似诱捕昆虫的蜜罐因而得名。

功能

蜜罐通常伪装成看似有利用价值的网络、资料、电脑系统，并故意设置了bug，用来吸引黑客攻击。由于蜜罐事实上并未对网络提供任何有价值的服务，所以任何对蜜罐的尝试都是可疑的。蜜罐中还可能装有监控软件，用以监视黑客入侵后的举动。

蜜罐在拖延黑客攻击真正目标上也有一定作用。不过黑客可能发现一个电脑系统是蜜罐，进而提前退出。

而更常见的用法是用来吸引网络的计算机病毒入侵，从而获得病毒样本用于研究或破解的计算机，杀毒软件公司会利用这些计算机来监视或获得计算机网络中的病毒样本。

风险

蜜罐的目标是在足够长的一段时间内吸引攻击者，以获得如攻击工具和战术、技术和程序(TTPs)等高级妥协指标(IoC)。因此，蜜罐需要模拟生产网络中的基本服务，并授予攻击者执行对抗活动的自由，以增加其对攻击者的吸引力。虽然蜜罐是一个受控环境^[1]，但攻击者仍有可能将一些蜜罐作为枢纽节点渗透到系统中。^[2]

由于大型企业网络缺乏通信，蜜罐也可能会吸引合法用户。例如，运用和监控蜜罐的安全团队可能会因为缺乏沟通或防止内部威胁，而不能及时向所有用户披露蜜罐位置。^[3][4]

案例

• 1994年，米特尼克向圣地亚哥超级计算机中心入侵，戏弄在此工作的日裔美籍电脑安全专家下村努，并盗走他电脑的文件，还使用会话劫持技术盗走他网站的流量。后来下村努设立“蜜罐”让米特尼克中计引诱他上钩，用“电子隐形化”技术进行跟踪，结果1995年米特尼克再次被逮捕。

相关条目

• 电脑鉴识
• 电脑犯罪
• 主动式防御

参考资料

1. Honeywall CDROM – The Honeynet Project. [2020-08-07]. （原始内容存档于2022-10-11）.
2. Spitzner, Lance. Honeypots Tracking Hackers. Addison-Wesley Professional. 2002. OCLC 1153022947.
3. Qassrawi, Mahmoud T.; Zhang, Hongli. Client honeypots: Approaches and challenges. 4th International Conference on New Trends in Information Science and Service Science. May 2010: 19–25 [2022-10-09]. （原始内容存档于2022-10-14）.
4. illusive networks: Why Honeypots are Stuck in the Past | NEA | New Enterprise Associates. www.nea.com. [2020-08-07]. （原始内容存档于2022-10-09）.