1. 目的是什么?

蜜罐通常用于两个主要原因：预警或恶意行为分析。我是早期预警蜜罐的忠实拥护者，您可以在其中建立一个或多个伪造系统，这些伪造系统甚至会被稍加探测就立即记录下恶意信息。

预警蜜罐非常适合捕获其他系统遗漏的黑客和恶意软件。为什么?由于蜜罐系统是伪造的，因此任何单一的连接尝试或探测(在过滤掉正常广播和其他合法流量之后)都意味着恶意行为即将到来。

公司部署蜜罐的另一个主要原因是帮助分析恶意软件(尤其是0Day)或帮助确定黑客的意图。

通常，预警蜜罐比恶意行为分析蜜罐更容易设置和维护。使用预警蜜罐，当您检测到探针或连接尝试时，仅进行连接尝试即可为您提供所需的信息，并且您可以将探针追溯到其起源，以开始下一次防御。

可以捕获和隔离恶意软件或黑客工具的取证分析蜜罐，仅仅是非常全面的分析链的开始。我告诉我的客户计划为使用蜜罐进行的每个分析分配几天到几周的时间。

2. 蜜罐要做什么?

您的蜜罐模拟通常是由您认为可以最好地最早发现黑客或最好地保护您的重要资产驱动的。大多数蜜罐都模仿应用程序服务器、数据库服务器、Web服务器和凭据数据库(例如域控制器)。

您可以部署一个蜜罐来模拟您环境中的每个可能的广告端口和服务，也可以部署多个蜜罐，每个蜜罐都专用于模仿特定的服务器类型。有时，蜜罐用于模拟网络设备，例如Cisco路由器，无线集线器或安全设备。您认为黑客或恶意软件最有可能攻击的是您的蜜罐应该模仿的东西。

3. 什么交互水平?

蜜罐分为低交互、中交互和高交互。

• 低交互性蜜罐仅模拟端口扫描程序可能检测到的最基本级别的侦听UDP或TCP端口。但是他们不允许完全连接或登录。低交互性蜜罐非常适合提供恶意行为的预警。
• 中交互的蜜罐提供了更多的仿真功能，通常使连接或登录尝试看起来很成功。它们甚至可能包含可以用来欺骗攻击者的基本文件结构和内容。
• 高交互性蜜罐通常会提供其仿真服务器的完整或接近完整的副本。它们对于取证分析非常有用，因为它们经常诱骗黑客和恶意软件以揭示更多诱骗手段。

4. 您应该将蜜罐放在哪里?

我认为，大多数蜜罐应放置在它们试图模仿的资产附近。如果您有SQLServer蜜罐，请将其放置在实际SQLServer所在的相同数据中心或IP地址空间中。一些蜜罐发烧友喜欢将其蜜罐放置在DMZ中，因此，如果黑客或恶意软件在该安全域中松散，他们可以收到预警。如果您有一家跨国公司，请将蜜罐放在世界各地。甚至有一些企业放置了模仿CEO或其他高级C级员工的笔记本电脑的蜜罐，以检测黑客是否试图破坏这些系统。