真实与虚拟2种honeypot技术的比较

      我并不是说防火墙日志和入侵检测系统的报告是毫无价值的。事实上它们确实认真地履行了各自的任务。不过当你看到如此大量的信息和报告，而其中大部分都是对系统没有威胁的无目的的扫描时，你肯定会感到很沮丧。难道真的没有一种更好的安全防范方法么？

     Honeypot解决信息过量问题

      从某些角度来说，honeypot也许是一个更好的方法。Honeypot主要分为两类，真实的和虚拟的，这两类都是入侵者的诱饵。Honeypot这个概念来自几年前，那时候网络管理员希望有一种方法来找出到底是谁在探测网络。有句至理名言说“要想人不知，除非己莫为”，如果有人在探测网络，只要他向外发送数据，就一定会被察觉。因此有人利用了这个道理，在网络中建立了一个诱饵系统，它可以不时地向外发送与Windows网络服务有关的数据包，而那些监听网络的黑客获取数据包后，肯定会通过DNS查询来确定这个诱饵系统的更多资料。一旦DNS查询完成，则发送查询的主机名和IP地址包括查询时间就都会被记录下来。

      由于这种技术提出的较早，因此诱饵系统或者说是honeypots发展的非常迅速。到目前，有不少公司都能提供多种honeypot解决方案。如果你关注网络安全，那么honeypot系统确实能让你获益匪浅。但在应用honeypot系统前，你需要在真实的honeypot或虚拟honeypot之间做个选择。

     真实vs虚拟

      对于真实或是虚拟honeypot的选择方面，你需要考虑的是风险和回报。虚拟honeypot比较廉价，但也有一定安全风险，它在抓住黑客方面做得没有真实的honeypot好。另一方面，虽然真实的honeypot在入侵检测方面比虚拟honeypot好很多，但最顶级的黑客有可能利用真实的honeypot接管你的网络。

     虚拟honeypot的优势

      虚拟honeypot说白了是一个仿真程序。比如虚拟honeypot一般可以仿真FTP服务器，并监视所有的TCP和UDP端口并记录所有端口的活动情况。当黑客发现这个虚假的（他本人不知道）FTP时，就会试图开启一个FTP对话。这时虚拟FTP服务器（虚拟honeypot）就会记录下这个黑客的所有活动。比如honeypot会记录下哪个端口被使用、采用何种认证机制等。而虚拟FTP服务器会和真正的FTP服务器一样对黑客的行为作出响应。更好的是，由于这是个虚拟的FTP服务器，它没有真正的操作系统，因此就算黑客攻入了FTP，也不会进一步控制你网络中的其它电脑。

      理论上说，这个方法相当好，它使用起来相当安全，并且可以捕获大量的有用信息。比如，如果获取了黑客登录时的凭证，你就可以查出到底是哪个帐户被攻击了，这样就可以作出相应的补救动作。不过它的全部优势也就是这些了。

     虚拟honeypot的劣势

      对于虚拟honeypot来说，有两点最主要的不足。首先，它只能愚弄那些初级黑客。你要记住，虚拟honeypot并没有一个真正的操作系统支撑（有的解决方案中内嵌了简单的Windows或Linux）。因此有经验的黑客会发现很多命令在这台主机中不起作用。这会使他立即知道自己进入的只是一台honeypot，而不是真正的服务器。

      虚拟honeypot的另一个不足是它记录的信息种类有限。比如一个虚拟honeypot伪装成FTP服务器，那么它就只能获取和FTP相关的信息。当然，大部分虚拟honeypot还可以获取端口扫描和其它一些基本的攻击信息。然而，如果一个黑客利用IPv6端口发送加密的信息又会如何呢？由于虚拟honeypot功能有限，它无法记录这类的问题。简单说，虚拟honeypot可以检测并记录已知的攻击种类，但对于新型的攻击却没什么用处。

     真实honeypot的优势

      一个真正的honeypot，是一个或多个真实的系统组成的诱饵系统。由于它是带有操作系统的真实系统，因此它对于黑客的操作响应与网络上其它主机完全一样。这有好处也有坏处。好处是，黑客几乎不可能察觉到他们已经进入了一个陷阱，而不是真正的实用网络。实际上，唯一能让黑客起疑心的现象就是那些不太完善的honeypot网络没有采取任何正常的安全更新措施。

      真实的honeypot最大的优点就在于入侵检测能力。系统会假定任何发送到honeypot网络的数据都是带有恶意的，因此完全不用担心黑客会采用什么新方法而不被honeypot捕获。黑客的任何操作都会被真实的honeypot记录下来。

     真实honeypot的劣势

      真实的honeypot也有不足，它有可能被高级黑客征服而变为进攻你的正常网络的跳板。为了防止这种情况，你需要在honeypot网络与正常网络间架设防火墙，以阻挡二者间的任何数据通信。更复杂的Linux honeypot带有防止黑客入侵正常网络的功能，而对于Windows上的honeypot，目前还没有类似的功能。

     真实明显优于虚拟

      从多种环境考虑，真实的honeypot比虚拟honeypot更具优势。不过在你购买真实honeypot之前，你应该了解一下它的成本。除了购买机器外，你还需要购买操作系统以及其它安装在真实honeypot上的软件。最后你还要做好真实的honeypot会被最顶尖的黑客攻破的准备。