普通人如何建立一个蜜罐？

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析。考虑到全球每39秒就会发生一次网络攻击，蜜罐在安全防御战略中发挥着重要作用。

在沙箱环境中监控网络攻击能够及时发现新的网络安全威胁，并对分析攻击载体提供重要信息。因此，蜜罐是公司和执法部门的理想选择。部署蜜罐可以为企业对抗网络攻击起到缓冲作用，分散攻击方的注意力，使其无法发现专有资产，同时也为监控这些威胁提供了机会。

蜜罐的类型很多，它们可以是网站、服务器、恶意 WiFi 接入点、电子邮件地址、应用程序、重定向链接等。本文的作者介绍了易总可以使用免费网站部署蜜罐的方法。

---

蜜罐数量远超服务器数量

许多公司会在安全的环境中部署蜜罐，并将其与受保护的局域网分开。这样，他们就可以在攻击者入侵系统时给予误导斌监控威胁行为。

然而，黑客也会使用蜜罐。

使用 Shodan 搜索易受攻击系统的人可以告诉你，野外部署的蜜罐数量之大令人震惊。任何开放了大量端口的互联网设备都有可能是一个蜜罐。

截至发稿前，当你在 Shodan 上搜索Confluence时，它报告了全球261308个面向互联网的 Confluence服务器，但真实服务器的数量只有4000个。换言之，有超过25万的Confluence蜜罐用来捕获攻击，这使评估Confluence漏洞的潜在影响变得尤其复杂。

作者发起的网络战

本文作者讲述了他和黑客组织的一场网络战争。

2007 年，我发起了一场网络战，打击一个没有采用适当 OPSEC 的黑客组织。

我想把对手吸引到我完全控制的平台上，这样我就可以获得他们的 IP 地址、浏览器指纹、地理位置等信息。这个黑客组织正在搜索我的私人黑客社交论坛板块。因此，我知道如果想让他们上当，就必须创建一个假论坛。

我假扮成叛逃者，引诱他们访问论坛，这很容易，因为他们急于想知道我们都在说他们什么。论坛板块是私密的，这意味着他们必须注册才能看到私密帖子。

作为管理员，我能够找回他们在注册过程中使用的电子邮件地址的相关密码。这导致我的小组泄露了他们的几个电子邮件账户，因为他们中的大多数人的密码状况非常糟糕。这使我们能够执行数十次账户接管。

隐藏在论坛和网站源代码中的是一个简单的 PHP 脚本，其中的部分内容已编码为十六进制，因此看起来并无恶意。该脚本旨在捕获 IP 地址、执行浏览器指纹识别和目标操作系统的访客估计。脚本中还包含通过电子邮件发送访客日志给我的指令。

这为我们通过分布式拒绝服务（DDoS）攻击他们的互联网连接提供了机会。知道了他们的 IP 地址，我们就有了一个可能的攻击载体。

论坛和网站都有开放的验证FTP服务器访问权限，因此他们没有理由不登录并四处看看。我把它们称为“空投箱”。

我将几个随机的非敏感文件上传到FTP下拉框，因为我知道敌人会出于好奇下载并运行这些文件。最妙的是，这些文件都是恶意的，这样我就可以远程访问他们已被感染的电脑。

蜜罐的主要类型

有多种不同类型的蜜罐可以满足用户的不同需求，根据它们的构建方式和它们的用途进行分类，有几种不同的蜜罐：

1、根据交互程度的不同，又分为以下两种类型：

**低交互蜜罐：**低交互蜜罐只模拟了系统的一部分功能，通常只包括网络服务和部分应用程序，为攻击者提供简单的交互，配置简单，容易部署，但受限于交互能力，可能无法捕获高价值的攻击。

**高交互蜜罐：**高交互蜜罐提供了一个完整的、真实的系统环境，包括操作系统、应用程序和网络服务等，允许攻击者获得完全的访问权限，使得攻击者很难区分它与真实的系统。

2、根据用途的不同，分以下两种类型：

**生产蜜罐：**用于捕获生产环境中的攻击，保护生产环境。通常是企业用于改善其整体安全状态的一部分，可能是低交互或中交互蜜罐。

**研究蜜罐：**主要用于研究活动，如了解黑客和黑客团体的背景、目的和活动规律等。对于编写新的入侵检测规则、发现系统漏洞等具有价值。

3、根据设计和部署的不同，分以下两种类型：

**研究型蜜罐：**用于研究和教育目的，可能包括模拟不同的攻击场景和数据泄漏情况。

**生产型蜜罐：**用于保护实际的生产环境，监测和记录网络流量，以检测和预防潜在的安全威胁。

如何创建用于捕获 IP的基础蜜罐

通常情况下，威胁行为者都很聪明，不会点击未经请求的链接。但总有例外。当作者需要快速见效时，他会使用 Grabify.link，它允许用户自由创建和管理 IP 抓取活动。但我们需要的是更不起眼的东西。

首先要创建一个免费网站。有很多网站可供选择，如 Godaddy、Wix等等。这一点很重要，因为你可以利用蜜罐网站来满足多种需求，从而轻松地为不同的活动重新安排内容。在本例中，作者使用的是 Wix。

其次，在 TraceMyIP 创建一个账户。它是免费的，并可以让用户用很传统的方式使用IP记录器，此外，它还能提供更深入的网站访客统计数据。

点击“我的项目”中的“跟踪代码”。注意“页面加载”部分，一旦蜜罐全面启动，该部分将显示你的网站访问量、捕获的 IP 地址、浏览器和操作系统以及其他信息。

下一步，选择代码类型。在“通用跟踪器”子类别下，你可以尝试使用任何选项。在本例中，作者选择了 JavaScript 代码，这是推荐选项。点击获取代码，就会生成代码，供你复制并粘贴到 Wix 中。

这是为那些还记得2000年代 Myspace 版面生成器的人准备的。在这种情况下，我们需要删除一个图片源路径，这样它就不会出现在你的蜜罐中，也不会自动暴露出它的可疑之处。移除作者用红色标出的部分后，你的代码就不会再有任何人工痕迹了。

在此阶段，你不需要建立 Wix 网站，这可以稍后再做。前往“设置”，点击“自定义代码”。

接下来，点击 + 添加自定义代码。这将带你进入自定义代码模板，你可以在其中引入自己的第三方代码片段。

复制并粘贴你的自定义代码，然后配置你希望如何加载代码以及在哪些页面上加载代码。

最后，访问你的 Wix 网站，测试你的代码。然后回到 TraceMyIP、我的项目，选择页面加载。应该会看到网站访问的综合列表。点击跟踪。页面将打开，方便地显示网站访问者的大量有趣信息。TraceMyIP 的功能非常丰富，因此请花时间探索其众多选项。

善加利用OSINT

如何使用蜜罐最终取决于你的需求。这个 Wix 网站可根据你当前的目标进行修改，并可在几分钟内轻松更改，以适应新的目标。

请记住，你可以使用任何允许用户运行第三方代码的平台来托管你的 IP 日志脚本。例如，Start.me 允许第三方嵌入代码，用户可以在这里整理自己喜欢的网站链接、新闻源、笔记等。

从网站访客和威胁行为者那里获取信息是第一步。你可以使用 Netlas.io 等开源情报工具被动地进行网络侦察，如相关域、注册商信息、开放端口和漏洞 CVE，如果你想要采取进攻策略，这些信息可以为确定潜在的攻击载体提供重要见解。

创建蜜罐的方法有很多。例如，T-Pot 就像是“谍报系统中的瑞士军刀”，具有功能丰富的选项和图形界面。它还提供动画实时攻击地图，包括网络威胁检测和分析。这是监控真实和模拟事件的理想工具，有助于事件响应和数字取证调查。

由于这些病毒往往在野，因此必须注意自己的安全，确保自己的 IP 地址不会公开泄露，供他人攫取和攻击。无论你在网上做什么，匿名始终是你抵御网络监控的首要武器。只要利用可靠的在线匿名工具，保持良好的 OPSEC，就能轻松搞定蜜罐。

原文链接：

https://cybernews.com/editorial/hacker-honeypots-everyday-person/#google\_vignette

原文作者：

Jesse William McGraw

Jesse William McGraw，是一名前内部威胁和威胁行为者。他是美国近代史上第一个因破坏工业控制系统而被定罪的人。现在，他是一名人道主义活动家和公众演说家，并利用自己的知识提高人们对安全风险的认识。

END

点击这里阅读原文