互联网世界的攻击者们，比现实世界的坏人们更善于隐藏自己，他们往往躲在肉鸡、代理的背后，肆无忌惮的攻击我们的站点。对于这样的坏人，我们只能躲在高墙之后被动防御了吗？

当然不是！因为，有一种神奇的技术叫“蜜罐”。

在军事领域，以响尾蛇导弹为代表的红外制导武器，可以利用红外探测器捕获和跟踪目标自身辐射的能量来追击目标。对于飞机来说，没有任何方法能在空中关停产生热辐射的发动机，所以，对飞机来说，响尾蛇导弹是一种非常可怕的存在。

道高一尺魔高一丈，为了避免被响尾蛇导弹击落，很多飞机都会配备一种防御武器：红外诱饵弹，在响尾蛇导弹接近自己的时候，放出红外诱饵弹，吸引对方去攻击诱饵弹，从而达到让自己金蝉脱壳的作用。

“蜜罐”是一种思想

类似的事情也发生在互联网安全领域。

一个接入互联网的网站，只要能和外部产生通信，就有被黑客攻击的可能——就像飞机在控制无法关停发动机一样。但是网站能像飞机发射红外诱饵一样，用某种陷阱来引诱攻击者，就可以达到自身不被攻击的目的。

这种引诱黑客攻击的“陷阱”就是“蜜罐”。从广义上看，“蜜罐”并不具体指某种技术，而是一种思想。

举个栗子，在电影《无间道》中，警方发现自己这边有内鬼但是并不知道是谁，于是假装传递含有内鬼信息的信封，刘德华饰演的内鬼摸不清底细，冒险去拿了这个信封。

在这个情节里，这个伪装成情报的信封就相当于“蜜罐”。

“蜜罐”的创造者

蜜罐作为一种古老的技术思想，近几年被人们越来越多地提起。

这一概念最初出现在一本上世纪出版的小说——《The Cuckoo's Egg》中，这本小说描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。这本书是互联网界和文学小说界的传奇，被誉为最真实的黑客小说。

这本书的作者 CliffordStoll 其实是个计算机安全专家，他在1988年提出“蜜罐是一个了解黑客的有效手段”。之后，蜜罐技术受到越来越多的网络安全研究员们的注意，成为继被动防御技术之后又一个强有力的网络安全技术。

然而，蜜罐技术迎来真正的发展，是在这一概念被提出10年之后。

在这一时期，蜜罐思想吸引到一匹网络安全技术员的注意，同时也开发出一批相应的产品，如Fred Cohen 所开发的DTK（欺骗工具包）、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。

这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

虚拟蜜罐工具的出现也使得部署蜜罐变得比较方便，即使是普通的网络安全技术员也能配置，而不是像小说情节那样不接地气。

这些能够模拟IP栈、OS、应用程序的蜜罐，在它被攻陷了后也很容易重建。通常情况下，模仿是完全在内存中实现的。虚拟蜜罐软件也允许在单一的物理主机上配置一个完全的蜜网，一个虚拟蜜罐系统可被用来模仿成千上万个系统，每个系统使用成千上万个端口且使用不同的IP。

和飞机发射的红外诱饵类似，这种简单的蜜罐更多是起到干扰攻击者的作用，并不能获取到更多攻击者信息。

于是有人就提出一些设想：

如果用蜜罐获取到更多的攻击者信息，比如攻击者的IP，就可以对攻击来源打上标记，这样一来就可以直接防御来自被标记的攻击，御敌于“国门”之外，大大减轻安全压力。

在这种指导思想下，一种新时代的蜜罐产生了：高交互蜜罐。

高交互蜜罐提供真实的操作系统和真实的服务，因此，这种蜜罐的交互性最强，收集到的数据也最全面。

由于是真实的操作系统和真实的服务，这样的蜜罐其实是可以被攻陷的，甚至入侵者还能利用该蜜罐作为跳板，对网络上其他用户进行入侵。因此，高交互蜜罐捕获的入侵信息是最全面的，但也是比较危险的。

在讨论蜜罐技术的未来之前，我们需要知道一个前提：蜜罐并不是当前互联网世界最主流的安全技术，企业也不能只依赖蜜罐技术来保护自己。

所以，这就存在一个问题，企业部署蜜罐的同时还得部署传统的被动防御，这样一来安全成本就大大提高。

离开剂量谈毒性都是耍流氓

离开了成本去谈安全也是耍流氓，所以，对于中小企业来说，蜜罐技术大部分时候还处于纸上谈兵的阶段。

另外，蜜罐作为一种诱饵，存在被攻破的可能性，如果是部署在物理机上的蜜罐，甚至可能被黑客作为跳板来入侵，这种风险也是企业用户不得不考虑的因素之一。