Honeypot 技术是一种用于防止自动化垃圾注册和垃圾邮件的方法。其原理是通过在表单中添加隐藏字段(即蜜罐字段),欺骗和捕获自动化的恶意脚本或机器人。以下是 Honeypot 技术的详细解释及其在 WordPress 中的应用:
您可能听说过“蜜罐”这个词,想知道它是什么,以及它如何使您的计算机系统更安全。本文将介绍您需要知道的有关蜜罐及其在网络安全中的地位的所有信息。
蜜罐的定义
蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。经常会有敌方间谍中了美人计,然后被迫交待他/她所知道的一切。
在计算机安全方面,网络蜜罐的工作原理与此类似,是为黑客设下的诱饵。这是一种具有牺牲性质的计算机系统,旨在吸引网络攻击,就像诱饵一样。它模仿黑客的目标,利用黑客的入侵企图来获取网络犯罪分子的信息以及他们的行动方式,或者将他们从其他目标上引开。
Honeypot 技术的原理
Honeypot 技术通过在表单中添加一个对人类用户不可见的字段来工作。这个字段通常通过CSS或JavaScript将其隐藏起来。正常用户在提交表单时不会填写这个字段,而自动化脚本则可能会填写所有字段,包括隐藏字段。如果检测到这个隐藏字段被填写了,就可以判定提交者是一个机器人,从而阻止该提交。
Honeypot 技术的优点
- 无用户干扰:相比于验证码等需要用户额外操作的方法,Honeypot 技术对用户是完全透明的,不会影响用户体验。
- 易于实现:添加隐藏字段并在后端进行简单的验证即可实现。
- 高效:可以有效地过滤掉绝大多数自动化脚本。
在WordPress中使用Honeypot技术
在WordPress中,可以通过插件轻松实现Honeypot 技术。
使用插件
- WPForms:
- 安装WPForms插件:在WordPress后台,进入插件 > 安装插件,搜索“WPForms”,安装并激活插件。
- 启用Honeypot:创建或编辑一个表单,在“设置”(Settings) > “防垃圾邮件保护”(Spam Protection and Security)选项中,启用“Honeypot防垃圾邮件保护”(Honeypot Spam Protection)。
- WPForms会自动在表单中添加一个隐藏字段,检测到机器人提交时阻止表单提交。
- Contact Form 7 Honeypot:
- 安装Contact Form 7 和 Contact Form 7 Honeypot插件:同样,在插件页面搜索并安装这两个插件。
- 在表单中添加Honeypot:编辑一个Contact Form 7表单,使用
[honeypot honeypot-1]
短代码添加Honeypot字段。 - 保存并更新表单。
- WP Bruiser:
- 安装WP Bruiser插件:在插件页面搜索并安装WP Bruiser插件。
- 配置WP Bruiser:激活插件后,进入插件设置页面,根据需要启用Honeypot保护功能。
- WP Bruiser提供了多种防垃圾邮件和防垃圾注册的选项,包括Honeypot。
手动实现Honeypot技术
如果你不想使用插件,也可以手动在你的主题或插件中实现Honeypot技术。
- 在表单中添加隐藏字段:
<form action="your_form_handler" method="post">
<!-- 其他表单字段 -->
<div style="display:none;">
<label>Leave this field empty</label>
<input type="text" name="honeypot_field" value="">
</div>
<input type="submit" value="Submit">
</form>
- 在表单处理脚本中进行验证:
if (!empty($_POST['honeypot_field'])) {
// 这是一个机器人提交,阻止表单处理
wp_die('Spam detected');
} else {
// 正常处理表单提交
}
通过这些方法,你可以有效地在你的WordPress网站上实现Honeypot技术,防止垃圾注册和垃圾邮件。
蜜罐的工作原理
蜜罐看起来是一个真实的计算机系统,其中包含应用程序和数据,欺骗网络犯罪分子以为这是一个合理目标。例如,蜜罐可以模仿公司的客户计费系统,这是想要找到信用卡号码的犯罪分子经常攻击的目标。一旦黑客进入,就可以对他们进行追踪,并对他们的行为进行评估,以获取如何使真实网络更安全的线索。
蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。
蜜罐并未像防火墙或反病毒软件一样设置为解决特定问题。相反,它是一种信息工具,可以帮助您了解企业的现有威胁,并发现新出现的威胁。利用从蜜罐获得的情报,可以制定安全工作的优先级和重点。
不同类型的蜜罐及其工作原理
不同类型的蜜罐可以用来识别不同类型的威胁。各种蜜罐定义均基于所解决的威胁类型。它们都在全面有效的网络安全策略中占有一席之地。
电子邮件陷阱或垃圾邮件陷阱将伪造的电子邮件地址放置在隐藏位置,只有自动地址收集器才能找到它。由于该地址除了是垃圾邮件陷阱外,没有任何其他用途,因此可以 100% 确定发送到该地址的任何邮件都是垃圾邮件。所有与发送到垃圾邮件陷阱的邮件内容相同的邮件都可以被自动阻止,并且发件人的源 IP 可以添加到黑名单中。
可以设置一个诱饵数据库来监控软件漏洞,并发现利用不安全的系统架构或使用 SQL 注入、SQL 服务漏洞或滥用权限的攻击。
恶意软件蜜罐模仿软件应用程序和 API 来引诱恶意软件攻击。然后可以通过分析恶意软件的特征,来开发反恶意软件或封堵 API 中的漏洞。
爬虫蜜罐旨在通过创建只有网络爬虫才能访问的网页和链接来诱捕网络爬虫。检测网络爬虫可以帮助您了解如何阻止恶意机器人以及广告网络爬虫程序。
通过监视进入蜜罐系统的流量,您可以评估:
- 网络犯罪分子来自何处
- 威胁级别
- 他们的作案手法
- 他们感兴趣的数据或应用程序
- 您的安全措施在阻止网络攻击方面的效果如何
另一个蜜罐定义着眼于蜜罐是高交互还是低交互。低交互式蜜罐使用的资源较少,收集有关威胁的级别和类型以及威胁来源的基本信息。它们的设置简单快捷,通常只需模拟一些基本的 TCP 和 IP 协议以及网络服务。但是蜜罐中没有任何内容可以让攻击者长时间交互,您不会获得有关他们的习惯或复杂威胁的深入信息。
另一方面,高交互性蜜罐旨在使黑客在蜜罐内花费尽可能多的时间,从而提供有关他们的意图和目标以及他们正在利用的漏洞和所用作案手法的大量信息。可以将其视为添加了“胶水”的蜜罐 – 可以让攻击者花费更长时间交互的数据库、系统和进程。这使得研究人员能够跟踪攻击者在系统中的哪些位置查找敏感信息,他们使用哪些工具来提权,或者利用哪些漏洞来破坏系统。
使用蜜罐的好处
蜜罐是暴露主要系统中的漏洞的好方法。例如,蜜罐可以显示出对物联网设备的攻击所带来的高度威胁。它还可以提出改进安全性的方法。
与尝试在实际系统中发现入侵相比,使用蜜罐具有多个优势。例如,根据定义,蜜罐不应获得任何合法流量,因此所记录的任何活动都可能是探测或入侵尝试。
这样可以更容易地发现模式,例如相似的 IP 地址(或全部来自一个国家的 IP 地址)被用来进行网络扫描。相比之下,当您在核心网络上查看大量合法流量时,很容易在噪声中错过此类攻击迹象。使用蜜罐的一大优势在于,这些恶意地址可能是您看到的全部地址,从而使攻击更容易识别。
由于蜜罐处理的流量非常有限,它们也非常节省资源。它们对硬件的要求不高;可以用您不再使用的旧计算机来设置蜜罐。至于软件,可以从在线存储库中获得许多现成的蜜罐,这进一步减少了设置和运行蜜罐所需的内部工作量。
蜜罐的误报率很低。 这与传统的入侵检测系统 (IDS) 形成鲜明对比,后者可能产生大量误报。此外,这有助于确定工作的优先级,并使蜜罐的资源需求保持在较低水平。(事实上,通过使用蜜罐收集的数据并将其与其他系统日志和防火墙日志相关联,可以为 IDS 配置更相关的警报,以减少误报。这样,蜜罐可以帮助优化和改进其他网络安全系统。)
蜜罐的优点和缺点
蜜罐可以提供有关威胁如何进化的可靠情报。它们提供有关攻击媒介、漏洞利用和恶意软件的信息,对于电子邮件陷阱,则提供有关垃圾邮件发送者和网络钓鱼攻击的信息。黑客会不断完善他们的入侵技术;网络蜜罐有助于确定新出现的威胁和入侵。充分利用蜜罐也有助于消除盲点。
蜜罐也是技术安全人员的绝佳培训工具。蜜罐是受控制的安全环境,用于展示攻击者的工作方式和检查不同类型的威胁。使用蜜罐,安全人员将不会因使用网络的实际流量而分心 – 他们将能够 100% 专注于威胁。
蜜罐还可以捕获内部威胁。大多数组织都花时间保护周边,并确保外部人员和入侵者无法进入。但是,如果仅保护周边,任何已成功越过防火墙的黑客都能尽其所能造成破坏。
防火墙也无助于抵御内部威胁,例如,一名员工想要在离职前窃取文件。蜜罐可以提供同样有用的内部威胁信息,并将此类区域中的漏洞展示为允许内部人员利用系统的权限。
最后,通过设置蜜罐,您实际上是在无私帮助其他计算机用户。黑客在蜜罐上浪费精力的时间越多,他们用来入侵实时系统并对您或其他人造成实际损害的时间就越少。
蜜罐的危险
虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。不能因为某种威胁没有针对蜜罐,就认为它不存在;重要的是要及时了解 IT 安全新闻,而不仅仅是依靠蜜罐来通知您这些威胁。
一个好的、配置合理的蜜罐会欺骗攻击者,让他们相信他们已获得真实系统的访问权限。它将具有与真实系统相同的登录警告消息、相同的数据字段甚至相同的外观和徽标。但是,如果攻击者成功将其识别为蜜罐,他们就会继续攻击您的其他系统,同时不与蜜罐接触。
一旦蜜罐被“采指纹”,攻击者便可以进行欺骗性攻击以转移注意力,而以您的生产系统为目标真正进行攻击。他们还可以将错误的信息提供给蜜罐。
更糟糕的是,聪明的攻击者可能会使用蜜罐作为进入系统的一种方式。这就是蜜罐永远不能取代防火墙和其他入侵检测系统等足够安全的控制措施的原因。由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。