我并不是說防火墻日志和入侵檢測系統(tǒng)的報告是毫無價值的。事實(shí)上它們確實(shí)認(rèn)真地履行了各自的任務(wù)。不過當(dāng)你看到如此大量的信息和報告，而其中大部分都是對系統(tǒng)沒有威脅的無目的的掃描時，你肯定會感到很沮喪。難道真的沒有一種更好的安全防范方法么？

     Honeypot解決信息過量問題

      從某些角度來說，honeypot也許是一個更好的方法。Honeypot主要分為兩類，真實(shí)的和虛擬的，這兩類都是入侵者的誘餌。Honeypot這個概念來自幾年前，那時候網(wǎng)絡(luò)管理員希望有一種方法來找出到底是誰在探測網(wǎng)絡(luò)。有句至理名言說“要想人不知，除非己莫為”，如果有人在探測網(wǎng)絡(luò)，只要他向外發(fā)送數(shù)據(jù)，就一定會被察覺。因此有人利用了這個道理，在網(wǎng)絡(luò)中建立了一個誘餌系統(tǒng)，它可以不時地向外發(fā)送與Windows網(wǎng)絡(luò)服務(wù)有關(guān)的數(shù)據(jù)包，而那些監(jiān)聽網(wǎng)絡(luò)的黑客獲取數(shù)據(jù)包后，肯定會通過DNS查詢來確定這個誘餌系統(tǒng)的更多資料。一旦DNS查詢完成，則發(fā)送查詢的主機(jī)名和IP地址包括查詢時間就都會被記錄下來。

      由于這種技術(shù)提出的較早，因此誘餌系統(tǒng)或者說是honeypots發(fā)展的非常迅速。到目前，有不少公司都能提供多種honeypot解決方案。如果你關(guān)注網(wǎng)絡(luò)安全，那么honeypot系統(tǒng)確實(shí)能讓你獲益匪淺。但在應(yīng)用honeypot系統(tǒng)前，你需要在真實(shí)的honeypot或虛擬honeypot之間做個選擇。

     真實(shí)vs虛擬

      對于真實(shí)或是虛擬honeypot的選擇方面，你需要考慮的是風(fēng)險和回報。虛擬honeypot比較廉價，但也有一定安全風(fēng)險，它在抓住黑客方面做得沒有真實(shí)的honeypot好。另一方面，雖然真實(shí)的honeypot在入侵檢測方面比虛擬honeypot好很多，但最頂級的黑客有可能利用真實(shí)的honeypot接管你的網(wǎng)絡(luò)。

     虛擬honeypot的優(yōu)勢

      虛擬honeypot說白了是一個仿真程序。比如虛擬honeypot一般可以仿真FTP服務(wù)器，并監(jiān)視所有的TCP和UDP端口并記錄所有端口的活動情況。當(dāng)黑客發(fā)現(xiàn)這個虛假的（他本人不知道）FTP時，就會試圖開啟一個FTP對話。這時虛擬FTP服務(wù)器（虛擬honeypot）就會記錄下這個黑客的所有活動。比如honeypot會記錄下哪個端口被使用、采用何種認(rèn)證機(jī)制等。而虛擬FTP服務(wù)器會和真正的FTP服務(wù)器一樣對黑客的行為作出響應(yīng)。更好的是，由于這是個虛擬的FTP服務(wù)器，它沒有真正的操作系統(tǒng)，因此就算黑客攻入了FTP，也不會進(jìn)一步控制你網(wǎng)絡(luò)中的其它電腦。

      理論上說，這個方法相當(dāng)好，它使用起來相當(dāng)安全，并且可以捕獲大量的有用信息。比如，如果獲取了黑客登錄時的憑證，你就可以查出到底是哪個帳戶被攻擊了，這樣就可以作出相應(yīng)的補(bǔ)救動作。不過它的全部優(yōu)勢也就是這些了。

     虛擬honeypot的劣勢

      對于虛擬honeypot來說，有兩點(diǎn)最主要的不足。首先，它只能愚弄那些初級黑客。你要記住，虛擬honeypot并沒有一個真正的操作系統(tǒng)支撐（有的解決方案中內(nèi)嵌了簡單的Windows或Linux）。因此有經(jīng)驗(yàn)的黑客會發(fā)現(xiàn)很多命令在這臺主機(jī)中不起作用。這會使他立即知道自己進(jìn)入的只是一臺honeypot，而不是真正的服務(wù)器。

      虛擬honeypot的另一個不足是它記錄的信息種類有限。比如一個虛擬honeypot偽裝成FTP服務(wù)器，那么它就只能獲取和FTP相關(guān)的信息。當(dāng)然，大部分虛擬honeypot還可以獲取端口掃描和其它一些基本的攻擊信息。然而，如果一個黑客利用IPv6端口發(fā)送加密的信息又會如何呢？由于虛擬honeypot功能有限，它無法記錄這類的問題。簡單說，虛擬honeypot可以檢測并記錄已知的攻擊種類，但對于新型的攻擊卻沒什么用處。

     真實(shí)honeypot的優(yōu)勢

      一個真正的honeypot，是一個或多個真實(shí)的系統(tǒng)組成的誘餌系統(tǒng)。由于它是帶有操作系統(tǒng)的真實(shí)系統(tǒng)，因此它對于黑客的操作響應(yīng)與網(wǎng)絡(luò)上其它主機(jī)完全一樣。這有好處也有壞處。好處是，黑客幾乎不可能察覺到他們已經(jīng)進(jìn)入了一個陷阱，而不是真正的實(shí)用網(wǎng)絡(luò)。實(shí)際上，唯一能讓黑客起疑心的現(xiàn)象就是那些不太完善的honeypot網(wǎng)絡(luò)沒有采取任何正常的安全更新措施。

      真實(shí)的honeypot最大的優(yōu)點(diǎn)就在于入侵檢測能力。系統(tǒng)會假定任何發(fā)送到honeypot網(wǎng)絡(luò)的數(shù)據(jù)都是帶有惡意的，因此完全不用擔(dān)心黑客會采用什么新方法而不被honeypot捕獲。黑客的任何操作都會被真實(shí)的honeypot記錄下來。

     真實(shí)honeypot的劣勢

      真實(shí)的honeypot也有不足，它有可能被高級黑客征服而變?yōu)檫M(jìn)攻你的正常網(wǎng)絡(luò)的跳板。為了防止這種情況，你需要在honeypot網(wǎng)絡(luò)與正常網(wǎng)絡(luò)間架設(shè)防火墻，以阻擋二者間的任何數(shù)據(jù)通信。更復(fù)雜的Linux honeypot帶有防止黑客入侵正常網(wǎng)絡(luò)的功能，而對于Windows上的honeypot，目前還沒有類似的功能。

     真實(shí)明顯優(yōu)于虛擬

      從多種環(huán)境考慮，真實(shí)的honeypot比虛擬honeypot更具優(yōu)勢。不過在你購買真實(shí)honeypot之前，你應(yīng)該了解一下它的成本。除了購買機(jī)器外，你還需要購買操作系統(tǒng)以及其它安裝在真實(shí)honeypot上的軟件。最后你還要做好真實(shí)的honeypot會被最頂尖的黑客攻破的準(zhǔn)備。