正如中国的军事战略家孙子所写：“兵者，诡道也。”欺骗防御，正是根植在中国战争哲学之中一种谋略。网络安全攻防对抗本身就是一场战争。谁能占得先机，谁就拥有主导权。

如果只是通过查看日志文件，就想要发现攻击者早期的“侦查”迹象，这将异常困难，尤其是对于那些安全能力不足的中小企业。但是，如果能够在攻击链早期阶段检测到入侵者并对其做出响应，则可以在入侵者访问关键资产之前将其“踢出”。该阶段是攻击者在整个攻击链中唯一处于劣势的时间。

黑客攻击链

一旦攻击者在网络上有了最初的立足点，下一步将通过网络扫描等侦查手段了解更详细的IT环境以及下一步攻击目标。黑客的这些行为与正常用户每天采取的操作行为大不相同，并且会留下有形的、可识别的痕迹。

有了捕蝇草，苍蝇就别想跑

为了战胜敌人，我们必须设法了解攻击者是如何操作的，以及从攻击者的角度审视网络环境。只有这样，才有可能通过伪装“欺骗”攻击者，或者至少对内部网络攻击行为发出警告。通过建立一套欺骗系统，让入侵的黑客错以为完成攻击，而实际上他只是进入了一个精心构建的梦幻世界。这就犹如进入如来佛祖手中的孙大圣，任你通天本领，也翻不出手掌心。这时黑客将被套在透明的玻璃罩中，每走一步，就多暴露自己一分。

蜜罐就是这样一种诱骗系统，可以诱捕那些扫描甚至攻击它们的攻击者。打个比喻，这就像捕蝇草，利用甜美的气息吸引苍蝇前来觅食，然而一旦进入陷阱，就再也跑不掉。蜜罐与生产系统一起部署，目的是诱骗攻击者与其进行交互。通过欺骗攻击者对一个非关键的、监控良好的系统进行攻击，这对于了解黑客攻击方法有非常大价值。

如何批量安装微蜜罐

为了对抗黑客的尝试连接行为，青藤的“捕蝇草”通过指定特定主机的特定端口作为蜜罐，让主机对各端口进行监听，从而扩大监控范围。通过这样消耗小而覆盖面广的蜜罐配置，发现黑客端攻击行为的概率就会大大提升，一旦发现黑客尝试连接行为，则会进行实时报警。让“微”蜜罐，也能发挥“大”作用。这就像“朝阳群众”，他们可能是路边的志愿者，又或者仅仅是晨练所见的一个个平凡路人，但是通过“朝阳群众”举报而被警方打击惩治的案件已不胜枚举。

青藤的微蜜罐正是在诱导主机中，安放多个蜜罐端口，供黑客攻击，以提供各类黑客行为的线索。

建立一个蜜罐可以帮助企业：转移攻击者目标，检测到恶意流量，收到攻击的早期警报等。但是安全人员如何了解蜜罐每时每刻运作状态？如何管理合法扫描器的白名单？以及如何定期更新和更改配置呢？这都是安全人员在部署蜜罐时面临的巨大挑战。青藤微蜜罐能很好地解决这些问题。

如何全面部署蜜罐规则

青藤微蜜罐支持批量配置蜜罐主机和白名单管理。用户可以设置白名单规则来减少不必要的告警，规则包括扫描端口、扫描主机IP、扫描时间及规则适用范围。同时也支持将告警数据加入白名单，加入后会自动生成一条对应的白名单规则，防止相同事件持续误报。

①新建规则

单击“查看规则”—>“新建规则”进入到编辑规则页面，选择蜜罐主机和端口，点击确定按钮就可完成新规则建立。

②启用/关闭规则

单击启用、关闭按钮，即可开启和关闭蜜罐主机端口开关。

③白名单规则

单击按钮，有白名单规则和全部导出2项，选择“白名单规则”，进入到白名单规则页面。

单击“新建白名单规则”按钮，进入到白名单规则设置页面

④编辑白名单规则

对于已经保存的单条规则，用户可以选择对其进行修改。

⑤删除白名单规则

对于已经保存的单条或者多条规则，用户可以选择对其进行删除。

写在最后

有人的地方就有江湖。网络世界比真实世界更加残酷。在网络世界的黑暗森林中，每个攻击者都是带枪的猎人，犹如幽灵潜行于林间，轻轻拨开挡路的树枝，竭力不让脚步发出一点儿声音，他们时刻准备着攻击对方。我们要做的事情，发现黑客，开枪消灭之。