网络攻防学习笔记 Day46

网络欺骗的目的是对蜜罐进行伪装，使它在被攻击者扫描时表现为网络上的真实主机。

常用的网络欺骗方法主要有：模拟各种系统协议栈指纹、网络流量仿真以及网络地址转换等，具体的实现技术包括：地址空间欺骗、网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗等。

空间欺骗技术就是通过创建蜜罐来伪装成实际不存在的主机，引诱攻击者在这些蜜罐上花费时间。

在内部网络中伪造仿真流量可以采用两种措施：一是将内网中的网络流量复制进来并重现，造成以假乱真的效果；二是依据一定规则自动生成流量。

攻击捕获是指采集攻击者对网络实施攻击的相关信息，通过分析捕获的信息，可以研究攻击者所利用的系统漏洞，获取新的攻击方式，甚至是零日攻击。

数据控制的目的是限制蜜罐向外发起的连接，确保蜜罐不会成为攻击者的跳板。它通常遵循这样的原则：对流出蜜罐的数据，限制连接的数量和速度。

数据分析是指对蜜罐采集到的信息进行多个维度（协议维、时间维、地址维和代码维等）的统计分析，发现攻击行为规律，并用可视化方法展示分析结果。

蜜网（Honeynet）是由多个蜜罐组成的欺骗网络，蜜网中通常包含不同类型的蜜罐，可以在多个层面捕获攻击信息，以满足不同的安全需求。

网络欺骗防御是一种体系化的防御方法，它将蜜罐、蜜网、混淆等欺骗技术同防火墙及入侵检测系统等传统防护机制有机结合起来，构建以欺骗为核心的网络安全防御体系。

根据网络空间欺骗防御的作用位置不同，可以将其分为不同的层次，包括网络层欺骗、系统层欺骗、应用层欺骗以及数据层欺骗等。

网络层的欺骗防御技术考虑的是如何在网络中部署欺骗节点以及如何有效隐藏己方设备，目前主要用于应对三类典型威胁：网络指纹探测、网络窃听、网络渗透。