p1r06u3
commented
5 years ago 仅从个人角度理解:
- MHN和TPOT太过冗杂,把多种入侵检测、蜜罐堆到一起,如果运用的合理,应该会起到事半功倍的效果;
- 本项目借用的opencanary蜜罐,在其基础上二次开发,把它作为蜜罐agent客户端;
- agent纯python脚本,支持模拟多种低交互应用程序(mysql、redis、ssh、rdp、vnc等),无需高配置机器,512M内存即可运行,甚至更小(没有试验过);
- 蜜罐管理后台可查看蜜罐的数量、是否在线,攻击的详细信息,配置告警邮件,配置白名单ip和白名单端口;
- 后台的白名单ip和白名单端口的主要功能是配合agent的端口扫描功能使用的,只要有syn连接请求到蜜罐主机就认为是黑客入侵,在一些未知的扫描或攻击中会有奇效;但在甲方常常会有一些服务治理的平台或工具定时连接每一台机器,这时候需要把正常请求加入白名单,当排除了白名单来源请求,其他的都是可疑的。
- 如果白名单ip内的主机被黑了,发现攻击请求,那攻击请求会进入后台的过滤列表。
总结
MHN和TPOT我没有深入研究,应该是个不错的蜜罐平台。 此蜜罐项目只是一个初步的版本,可以用轻量级的方式解决一定的安全问题,作为甲方纵深防御体系的一环,希望有更多的同学参与进来提更多有趣的点子和代码。
商业蜜罐推荐
目前已知的商业蜜罐: 长亭科技、默安科技、锦行科技,排名不分前后。
请问这个蜜罐相比 MHN 和 tpot 有啥不同哈?其优势是什么?谢谢解答。