在实时网络上部署Honetpot/Honeynet

Question

最近我一直在研究开源蜜网技术，主要是Honeyd和Potemkin。

想知道是否有人有经验与他们或类似的技术，你将如何开始部署这些诱饵服务器。(新系统管理)。

Answer 1

我有捕获高性能混凝土的经验。这可能不是你想要的，因为它是一个完全活跃的蜂蜜客户端解决方案，用来浏览你提供的URL。然而，我可能会给出一些建议和陷阱：

• 硬件。其中一些解决方案是基于VMWare的。这意味着在机器被感染后进行还原操作。这是HDD密集型操作，如果同一个HDD承载两个同时需要恢复的VM，则会变得非常慢。
• 尽可能地隔离服务器。如果可能的话，将它们放在与组织局域网不同的网络上。
• 有一个测试环境。可能有不同的配置，这些配置可能会影响您的performance/malicious-detection-efficiency/etc.。你得去体验一下。
• 使用未修补的客户操作系统。为了检测恶意活动，您需要测试的应用程序有一个易受攻击的版本。我会在oldversion.com和FileHippo找那些。
• 考虑一下这些东西需要维护的事实。

我想还有更多。如果你想知道更具体的事情，请详细说明这个问题。

Answer 2

如果你能帮上忙的话，确保它们不能从内部网络中访问。

当我还是个学生的时候，我偶然登录到一台受感染的蜜罐机，以为这是真的，因为没有人告诉我不同的.

(虽然这显然不能保护你免受内部攻击)