蜜罐真的能将伤害转移到攻击者身上吗？

Question

蜜罐维基百科文章指出：

...a蜜罐是一种计算机安全机制，用于检测、转移或以某种方式对抗未经授权使用信息系统的尝试。

对我来说，偏转意味着攻击至少是一方发送给攻击者，从而减轻蜂蜜罐的伤害。但据我所知，蜜罐只是被动地收集信息。

，这是语言问题，维基百科错了，还是我遗漏了什么？

Answer 1

借用其他答案和评论，因为我同意它们：

Deflect = Not-the-same-as reflect back to the attacker.

在这方面，人们想到的常见做法是：

Your assets can be protected using deflection to a honeypot.

...the装甲介于目标身体和子弹之间，子弹必须穿过装甲。

我想不出有多少种情况，在攻击者和受保护的资产之间存在着蜜罐。这通常是防火墙的作用(网络防火墙或某种类型的web应用程序防火墙)。

蜜罐在实践中--如何通过分散注意力来保护它们。

它可以是一个低交互蜜罐(最常见的情况，因为它更容易设置和维护)，它放置在这样的方式，转移了攻击者的注意力，似乎很容易黑客攻击和设置保护的主要资产。例如，为了保护x.yourasset.com，您可以将x-be.youasset.com和x-Private.youasset.com设置为蜜罐，在这些蜜罐中，任何合法客户通常都不应该与之连接。当有人连接到他们，你使用某种形式的脚本自动化，禁止他们到达*.yourasset.com。在这里，禁令触发只是连接到蜜罐。不需要深入的互动。

中间交互蜜罐(同样是相当常见的)允许攻击者连接并给他们一个无限环路径，例如，允许SSH连接到一个不存在的帐户和密码；然后呈现一个虚构的文件系统，其目录永不终止。这浪费了攻击者的时间，并且可能会或不可能直接帮助您的资产安全性，除非您也使用它与某种形式的禁止。

In both the above cases, the honeypot is not "placed in front of" the asset. 

另一种可能是使用高交互蜜罐(不常见)。这需要一些努力来设置和管理。在这里，您可以让用户与您的主要资产进行交互，但是如果您看到任何不寻常的情况，请将会话切换到蜜罐。例如，你的网页形式可能有合法的听起来隐藏的字段(例如，spl-折扣，秘密-auth)，正常的流是永远不会被填充的。在您的服务器上，首先检查这些字段，如果它们被填充，则发送一个重定向到蜜罐。您还可以使用类似于OWASP AppSensor项目的方法来完成这一任务。

• 这看起来像是一个正常的成功提交--“谢谢.处理.”
• 每次更新屏幕都要花几秒钟时间--“谢谢你的耐心……”
• 这可能会继续要求更多的信息--“在我们完成处理之前，我们只需要更多的信息”“我们向您的电子邮件地址发送了额外的安全代码.请输入它以验证您的帐户是否有额外的安全性”(当然，您可能根本没有发送任何代码)。
• 最后用“我们很抱歉，请稍后再试”这样的话来结束它。

这可能与禁止相结合，但它在许多方面都有帮助，包括收集关于攻击者及其TTPs (工具、技术和过程)的数据，这将有助于采取其他防御措施。

Answer 2

不要混淆偏转和反击。

韦伯斯特在线词典：

使(某物)偏斜:使(某物)偏转，尤指使子弹偏转的直线或固定方向盔甲

在这个例子中，盔甲不会把子弹送回给射手，它只会把子弹送回去。

在蜜罐的情况下，它会分散攻击者的注意力，使他在探索和攻击诱饵、孤立和控制的环境时失去时间和资源，而真正的工作环境仍然安全。

这是为这支防守球队所获得的时间和信息。