什么是蜜罐

蜜罐 (Honeypot) 是为了有意吸引攻击者而设置的诱饵系统。公开不用于正常业务的服务器或服务，记录和分析攻击者访问时的行为。

由于蜜罐不存在合法访问，所有访问都可以视为恶意活动。这一特性使其能够高精度地捕获防火墙和 IDS 难以检测的未知攻击手法和攻击者的侦察行为。收集的信息作为威胁情报用于改进防御策略。

蜜罐的类型与交互级别

低交互型蜜罐：模拟 SSH、HTTP、SMB 等服务，记录连接源 IP 和登录尝试的密码。构建和运营简便，适合大量部署以观测互联网整体的攻击趋势。Cowrie、Dionaea 是代表性工具
高交互型蜜罐：运行实际的操作系统和应用程序，让攻击者相信是真实系统。能详细记录攻击者上传的恶意软件和横向移动手法，但存在被攻陷的风险，需要严格的网络隔离和监控
蜜网 (Honeynet)：将多个蜜罐配置为网络，观测攻击者的横向移动（Lateral Movement）。通过模拟组织内部网络，可以掌握攻击者直到最终目标的行为模式

从蜜罐获得的数据可以成为增强组织防御力的实用情报。

根据目的和运营体制选择蜜罐工具。

Cowrie 是专注于 SSH 和 Telnet 的低交互型蜜罐。记录攻击者输入的所有命令，呈现虚假文件系统。对收集暴力破解攻击中使用的密码字典特别有效，已发布 Docker 镜像，一条 docker run 命令即可启动。

Dionaea 模拟 SMB、HTTP、FTP、MSSQL 等众多协议，在自动收集恶意软件方面具有优势。自动保存攻击者发送的二进制文件，可与 VirusTotal 等外部服务联动进行分析。

T-Pot 是集成了 Cowrie、Dionaea、Honeytrap 等多个蜜罐的一体化平台。附带 Elasticsearch + Kibana 仪表板，可实时可视化攻击源的地理分布和时间序列攻击趋势。只需在云 VM 上从 ISO 镜像安装，即可同时运行 20 多种蜜罐。

构建时的要点是，蜜罐必须放置在与生产环境不同的网络段中，并严格限制蜜罐的出站通信。为防止攻击者将蜜罐作为跳板攻击其他系统，标准做法是将出站流量限制为仅日志转发目标。

蜜罐的运营不仅需要技术层面，还需要法律和组织层面的考量。

作为法律风险，如果蜜罐被攻击者用作跳板，可能需要对从中发起的攻击承担责任。虽然在日本的不正当访问禁止法下设置蜜罐本身不违法，但需要事先理清「引诱」攻击者的行为与执法机关调查方法的关系，以及收集数据在个人信息保护法下的处理方式。建议事先获得组织安全策略和法务部门的确认。

彻底的网络隔离是最重要的技术要求。由于高交互型蜜罐中攻击者可能获得 root 权限，除 VLAN 隔离外，还需通过防火墙规则阻断蜜罐段到生产段的所有通信。在云环境中，创建专用 VPC 且不设置对等连接是可靠的物理隔离方法。

攻击者跳板利用的风险也不容忽视。已有报告显示，攻陷高交互型蜜罐的攻击者以此为基地扫描组织的其他系统或用于对外 DDoS 攻击。请务必配置出站流量监控和异常流量告警。

维护负担也是现实课题。如果不保持蜜罐软件的最新状态，攻击者会识破它是蜜罐。特别是高交互型需要持续进行 OS 补丁应用、服务版本管理、日志存储容量监控。如果运营团队无法分配足够资源，从低交互型开始逐步扩展是现实的做法。

设置蜜罐等于把攻击者引入企业网络，很危险: 适当隔离的蜜罐与生产环境完全分离。前提是通过 VLAN 和防火墙规则阻断蜜罐到生产环境的通信，使攻击者无法将蜜罐用作跳板的设计。
没有高级安全团队就无法运营蜜罐: 低交互型蜜罐可以用 Docker 容器在几分钟内构建，只需将日志转发到 SIEM 即可进行基本运营。使用 T-Pot 等一体化平台，包括可视化仪表板在内都可以轻松部署。

仅模拟服务，不运行实际 OS。构建简便，适合大量部署。擅长观测攻击初期阶段（扫描、登录尝试），但无法记录攻击者的深层行为。

运行实际的 OS 和应用程序。能详细记录攻击者的恶意软件投放和权限提升手法，但存在被攻陷的风险，需要严格的网络隔离和持续监控。