|
谈真实和虚拟两种honeypot技术的比较(2) 对于虚拟honeypot来说,有两点最主要的不足。首先,它只能愚弄那些初级黑客。你要记住,虚拟honeypot并没有一个真正的操作系统支撑(有的解决方案中内嵌了简单的Windows或Linux)。因此有经验的黑客会发现很多命令在这台主机中不起作用。这会使他立即知道自己进入的只是一台honeypot,而不是真正的服务器。
虚拟honeypot的另一个不足是它记录的信息种类有限。比如一个虚拟honeypot伪装成FTP服务器,那么它就只能获取和FTP相关的信息。当然,大部分虚拟honeypot还可以获取端口扫描和其它一些基本的攻击信息。然而,如果一个黑客利用IPv6端口发送加密的信息又会如何呢?由于虚拟honeypot功能有限,它无法记录这类的问题。简单说,虚拟honeypot可以检测并记录已知的攻击种类,但对于新型的攻击却没什么用处。
真实honeypot的优势
一个真正的honeypot,是一个或多个真实的系统组成的诱饵系统。由于它是带有操作系统的真实系统,因此它对于黑客的操作响应与网络上其它主机完全一样。这有好处也有坏处。好处是,黑客几乎不可能察觉到他们已经进入了一个陷阱,而不是真正的实用网络。实际上,唯一能让黑客起疑心的现象就是那些不太完善的honeypot网络没有采取任何正常的安全更新措施。
真实的honeypot最大的优点就在于入侵检测能力。系统会假定任何发送到honeypot网络的数据都是带有恶意的,因此完全不用担心黑客会采用什么新方法而不被honeypot捕获。黑客的任何操作都会被真实的honeypot记录下来。
真实honeypot的劣势
真实的honeypot也有不足,它有可能被高级黑客征服而变为进攻你的正常网络的跳板。为了防止这种情况,你需要在honeypot网络与正常网络间架设防火墙,以阻挡二者间的任何数据通信。更复杂的Linux honeypot带有防止黑客入侵正常网络的功能,而对于Windows上的honeypot,目前还没有类似的功能。
真实明显优于虚拟
从多种环境考虑,真实的honeypot比虚拟honeypot更具优势。不过在你购买真实honeypot之前,你应该了解一下它的成本。除了购买机器外,你还需要购买操作系统以及其它安装在真实honeypot上的软件。最后你还要做好真实的honeypot会被最顶尖的黑客攻破的准备。
|
