| |
客户端的攻击框架仍然存在,这种攻击包含着一些自动化的机制,这使得用客户端蜜罐来检测和分析恶意Web服务器更加困难。例如,如果客户端蜜罐从一个特定的网络访问一个恶意服务器,客户端攻击就无法触发或只激发一次。由于不断重复的交互,恶意服务器将不可能再发动客户端攻击,这就使得安全人员在跟踪和分析恶意服务器及其攻击时遇到困难。
另外一个值得关注的问题是,如果一个高交互性的蜜罐被破坏或利用了,那么攻击者会尝试将它用作一个破坏或控制其它系统的垫脚石。理想情况下,蜜罐应当使用多种机制来防止这一点,操作人员应当紧密注意防止对无辜第三方的损害。
总结
在过去的这几年里,安全人员利用各种蜜罐技术已经收集了攻击者及其攻击方法的大量数据,而且我们期望这种趋势继续发展下去。现在,蜜罐正越来越多地被用于主流的应用中,并且安全人员可以使用的蜜罐工具也日益增多。我们尤其希望看到客户端蜜罐领域能有一个突破性的发展,因为我们看到浏览器的漏洞特别是IE的漏洞更是Windows平台的一个重要的威胁。Web应用程序是跨平台的应用中最为薄弱的环节。我们也看到,一些更新的应用程序,如VoIP和SCADA蜜罐也大行其道,这是因为对这些协议的滥用已经引起人们的重视。
蜜罐对于检测和分析攻击自有其优势和重要性,攻击者也会开发相应的技术来检测和避免蜜罐。Mpack这种漏洞利用框架已经在遵循这条路线。随着这些技术变得越来越流行和普遍,蜜罐也需要作出响应来使得攻击者的检测更加困难。分布式蜜网和不以虚拟化为基础的蜜网实施将会引起人们的重视。攻击者和安全研究人员的斗争将一直继续下去。但在目前,从总体上讲,蜜罐技术仍可为我们提供关于攻击者及其攻击方法的珍贵数据。
|
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
