當(dāng)你發(fā)現(xiàn)自己正在遭遇黑客攻擊，你是否想到佯裝被騙，將計(jì)就計(jì)來(lái)迷惑甚至反擊黑客？

這聽(tīng)起來(lái)有些玄乎，但類似的事情居然在一千年之前就曾發(fā)生過(guò)。

赤壁之戰(zhàn)前夕，周瑜佯裝醉酒，故意讓曹操派來(lái)的間諜蔣干盜走一封降書(shū)，讓曹操錯(cuò)殺了曹瑁、張?jiān)蕛晌粚㈩I(lǐng)，不費(fèi)一兵一卒就除掉了自己的眼中釘。這個(gè)“蔣干盜書(shū)”的歷史典故如果發(fā)生在當(dāng)今網(wǎng)絡(luò)攻防的環(huán)境下，情節(jié)可能是這樣：

曹氏集團(tuán)派出黑客蔣干成功滲透到競(jìng)爭(zhēng)對(duì)手東吳集團(tuán)內(nèi)部，成功拿到東吳集團(tuán)高管的郵箱權(quán)限。

根據(jù)郵件透露，曹氏集團(tuán)的核心技術(shù)骨干蔡瑁、張?jiān)试啻魏蜄|吳集團(tuán)通信，出賣核心技術(shù)資料。

情報(bào)傳回曹氏集團(tuán)后，蔡、張二人很快被當(dāng)做“內(nèi)鬼”處理，被冤枉的二人心生怨恨，于是跳槽到東吳集團(tuán)。而事實(shí)情況卻是，那封郵件是東吳集團(tuán)的網(wǎng)絡(luò)高手周瑜偽造，故意放出來(lái)給攻擊者的 “蜜餌”。

周瑜發(fā)現(xiàn)黑客入侵后，沒(méi)有選擇一味的防御，而是主動(dòng)出擊設(shè)置陷阱將計(jì)就計(jì)，最終用很小的代價(jià)就挖到了對(duì)手的兩位核心技術(shù)骨干。

【歷史典故的攻防分析（By arkteam)】

以上內(nèi)容雖是雷鋒網(wǎng)基于歷史典故的虛構(gòu)，但事實(shí)上，在如今的商業(yè)甚至國(guó)家網(wǎng)絡(luò)安全層面的網(wǎng)絡(luò)攻防中，諸如此類的“防御者詭計(jì)”，早已經(jīng)被用得淋漓盡致，甚至已經(jīng)發(fā)展成了一項(xiàng)專門的技術(shù)。

攻防中的網(wǎng)絡(luò)欺騙

最初，這些借刀殺人，以逸待勞的計(jì)謀，更多被用于進(jìn)攻，比如：

水坑攻擊，黑客先攻破企業(yè)內(nèi)網(wǎng)的一個(gè)普通站點(diǎn)，然后將受害者必須下載的文檔替換成了木馬，從而讓對(duì)方自投羅網(wǎng)，以逸待勞。

魚(yú)叉式釣魚(yú)，先搞定你的客戶的電腦，然后用他的賬號(hào)給你發(fā)帶木馬的郵件，借刀殺人。

除此之外，攻擊者還會(huì)利用各種各樣的人性弱點(diǎn)，進(jìn)行社會(huì)工程學(xué)攻擊。

因?yàn)楣粽呖偸翘幱谥鲃?dòng)、有利的位置，傳統(tǒng)的被動(dòng)式防御措施在如此攻勢(shì)下難免捉襟見(jiàn)肘，可一旦防御者能采取網(wǎng)絡(luò)欺騙的策略，反向欺騙回去，情況則大不相同。

在 FIT 2017 互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上，Arkteam 安全團(tuán)隊(duì)的劉潮歌進(jìn)行了一場(chǎng)名為“防御者的詭計(jì)”的主題演講，講述了在現(xiàn)如今網(wǎng)絡(luò)攻防當(dāng)中，網(wǎng)絡(luò)防御者如何通過(guò)將計(jì)就計(jì)的手段來(lái)迷惑、拖延甚至反擊對(duì)手。

在劉潮歌看來(lái)，與其把網(wǎng)絡(luò)欺騙作為一門技術(shù)，更不如稱之為一種應(yīng)對(duì)策略。在APT 攻擊（高級(jí)持續(xù)性威脅）日益增多的環(huán)境下，一味的防守最終會(huì)束手無(wú)策，而網(wǎng)絡(luò)欺騙則打開(kāi)了新的思路。

他認(rèn)為，網(wǎng)絡(luò)欺騙相較于傳統(tǒng)的被動(dòng)式防御，是一種更為積極主動(dòng)的防御方式，它的優(yōu)勢(shì)主要體現(xiàn)在三個(gè)方面：

1. 可以發(fā)現(xiàn)網(wǎng)絡(luò)攻擊：對(duì)于一個(gè)網(wǎng)絡(luò)攻擊，及時(shí)的發(fā)現(xiàn)它是非常重要的，而網(wǎng)絡(luò)欺騙可以幫助防御者發(fā)現(xiàn)正在進(jìn)行的攻擊，甚至是潛在的攻擊。

2.可以“黏住”網(wǎng)絡(luò)攻擊：通過(guò)迷惑攻擊者，達(dá)到消耗對(duì)方時(shí)間精力，從而為后續(xù)的防御工作留下時(shí)間，或者迫使對(duì)方放棄此次攻擊。

3. 可以溯源和反制：通過(guò)欺騙來(lái)讓對(duì)方暴露自己的攻擊意圖和攻擊手段，最終可以溯源取證和采取反制措施。

網(wǎng)絡(luò)欺騙的關(guān)鍵技術(shù)有哪些？

提及網(wǎng)絡(luò)欺騙的具體技術(shù)手段，劉潮歌說(shuō)，網(wǎng)絡(luò)欺騙的關(guān)鍵技術(shù)通常有四部分：蜜罐、蜜餌/蜜標(biāo)/面包屑、虛擬資產(chǎn)和影子服務(wù)。

1.蜜罐

蜜罐技術(shù)如今已經(jīng)成為一項(xiàng)很常見(jiàn)的網(wǎng)絡(luò)防御措施，顧名思義，蜜罐就是網(wǎng)絡(luò)防御者精心布置的“黑匣子”，專門用來(lái)引誘黑客攻擊的服務(wù)器?？此坡┒窗俪?，實(shí)則盡在掌握，它的作用就是讓黑客入侵，借此收集證據(jù)，同時(shí)隱藏真實(shí)的服務(wù)器地址。一臺(tái)合格的蜜罐不僅擁有發(fā)現(xiàn)攻擊、產(chǎn)生警告、數(shù)據(jù)記錄、欺騙、協(xié)助調(diào)查的功能，在必要時(shí)還可以根據(jù)蜜罐收集的證據(jù)來(lái)起訴入侵者。

【蜜罐應(yīng)用示意圖】

2.蜜餌/蜜標(biāo)/面包屑

這些方式和蜜罐技術(shù)類似，只是具體實(shí)施手法不同。蜜餌通常是布置一些攻擊者可能感興趣的資源作為誘餌，比如某某作戰(zhàn)計(jì)劃、某某商業(yè)合同等等，平常狀態(tài)下，這些文件不會(huì)被打開(kāi)，因此一旦發(fā)現(xiàn)這些這些文件被他人碰觸或打開(kāi)，則基本可以斷定有人入侵，有必要仔細(xì)檢查一下內(nèi)網(wǎng)的安全了。

【蜜餌應(yīng)用示意圖】

蜜標(biāo)同樣如此，很多人不知道的是，我們常用的 Word 文檔、PDF 文檔中其實(shí)可以植入一個(gè)URL地址，當(dāng)攻擊者打開(kāi)這個(gè)文件時(shí)，鏈接可以被自動(dòng)打開(kāi)，而且是以 HTTP 的形式打開(kāi)，因此當(dāng)攻擊者打開(kāi)蜜標(biāo)文件時(shí)，防御者就可以借機(jī)獲取他的IP地址、瀏覽器指紋等攻擊者的信息，從而溯源攻擊者。

【蜜標(biāo)應(yīng)用示意圖】

和蜜餌/蜜標(biāo)相比，面包屑更為主動(dòng)，防御者通過(guò)故意釋放出更多更零散的虛假信息，比如虛假的 Cookie 信息、虛假的瀏覽器記錄密碼、SSH 秘鑰、VPN 秘鑰等等，許多攻擊者拿到這些信息時(shí)，往往會(huì)以為自己撿到了寶貝，殊不知自己得到的是一劑“毒藥”，這些面包屑會(huì)將攻擊者引誘至提前布置好的蜜罐或影子服務(wù)當(dāng)中，從而甕中捉鱉。

無(wú)論是蜜罐、蜜餌還是面包屑，都是基于“誘餌”的思想，這些誘餌既可以是一些虛假的代碼注釋，可以是故意用來(lái)給攻擊者的虛假網(wǎng)站后臺(tái)，可以是一條數(shù)據(jù)庫(kù)記錄，當(dāng)有人用SQL注入來(lái)獲取這條記錄的時(shí)候，就相當(dāng)于給你報(bào)警了。

劉潮歌強(qiáng)調(diào)，如果企業(yè)希望通過(guò)網(wǎng)絡(luò)欺騙來(lái)進(jìn)行防御，那么不妨提前根據(jù)自身的網(wǎng)絡(luò)環(huán)境來(lái)了解，哪些東西可以真正作為誘餌。

3.影子服務(wù)

影子服務(wù)是由 ArkTeam 自己提出來(lái)的防御方式，較傳統(tǒng)的蜜罐來(lái)說(shuō)更具有迷惑性和實(shí)用性，但也更加復(fù)雜。所謂影子服務(wù)，就是一個(gè)和真實(shí)服務(wù)看起來(lái)一模一樣的網(wǎng)絡(luò)服務(wù)，不同的是，真實(shí)服務(wù)提供給用戶，而影子服務(wù)提供給攻擊者。當(dāng)有一些可疑流量過(guò)來(lái)時(shí)，可以先把它帶到影子服務(wù)器上進(jìn)行監(jiān)控分析，如果發(fā)現(xiàn)是攻擊者，則進(jìn)行下一步監(jiān)控、警報(bào)和記錄攻擊行為。

【影子服務(wù)應(yīng)用示意圖】

4.虛擬資產(chǎn)

除了誘餌，防御者還想到了為自己的重要資產(chǎn)找一些“替身”，這就是虛擬資產(chǎn)。在傳統(tǒng)的防御狀態(tài)下，一個(gè)企業(yè)的內(nèi)部網(wǎng)絡(luò)對(duì)于黑客來(lái)說(shuō)并不會(huì)太復(fù)雜，只要突破內(nèi)外網(wǎng)的圍墻式防御就可以為所欲為，很快就能接觸到企業(yè)的重要資產(chǎn)，因此有人也將圍墻式的防御比作是椰子，外表很堅(jiān)固，里面很美味。

但如果防御者部署了大量虛擬資產(chǎn)，則可以讓攻擊者無(wú)法觸碰到真實(shí)資產(chǎn)，讓他好似進(jìn)入迷宮找不到出口，一步步耗費(fèi)時(shí)間精力，贏得更多反擊時(shí)間，甚至逼迫對(duì)方主動(dòng)放棄攻擊。

從某種層面來(lái)說(shuō)，影子服務(wù)也起到了類似的作用——“黏”住黑客。

【圖片來(lái)源：長(zhǎng)亭科技】

網(wǎng)絡(luò)欺騙對(duì)防御者越來(lái)越重要

雷鋒網(wǎng)注意到，劉潮歌在演講中多次強(qiáng)調(diào)一件事——網(wǎng)絡(luò)欺騙將逐漸在網(wǎng)絡(luò)攻防中扮演越來(lái)越重要的位置。他說(shuō)，2014 年美國(guó)空軍發(fā)布了一個(gè)研究報(bào)告（BAA-RIK-14-07), 指出要研究網(wǎng)絡(luò)欺騙技術(shù)，并在次年簽訂了兩份總值9800萬(wàn)美元的合同，其中一份就是關(guān)于網(wǎng)絡(luò)欺騙技術(shù)的。美國(guó)軍方公開(kāi)采購(gòu)了這一合同，這在學(xué)術(shù)界或商業(yè)界都實(shí)屬罕見(jiàn)。

【美軍發(fā)布網(wǎng)絡(luò)欺騙相關(guān)報(bào)告】

在商業(yè)應(yīng)用方面，專業(yè)研究機(jī)構(gòu) Gartner 也在2015年7月發(fā)布的報(bào)告中也指出，基于欺騙的安全防御技術(shù)將會(huì)有很大的市場(chǎng)前景，并預(yù)測(cè)到2018年，將會(huì)有10%的單位使用欺騙工具或策略來(lái)對(duì)抗網(wǎng)絡(luò)攻擊。

甚至在學(xué)術(shù)界，網(wǎng)絡(luò)欺騙也逐漸得到重視，2016 年7月，Springer 出版了一本名為《Cyber Deception: Building the Scientific Foundation 》的書(shū)籍，書(shū)中集合了世界各地頂級(jí)網(wǎng)絡(luò)欺騙研究人員的最新研究，目的就是為網(wǎng)絡(luò)欺騙建立學(xué)科基礎(chǔ)。

雷鋒網(wǎng)編輯認(rèn)為，世間萬(wàn)事萬(wàn)物，道理總是相通，有人說(shuō)商場(chǎng)如戰(zhàn)場(chǎng)，有人說(shuō)官場(chǎng)如戰(zhàn)場(chǎng)，也許在劉潮歌的眼中，網(wǎng)絡(luò)世界也是一片充滿謀略、爾虞我詐的戰(zhàn)場(chǎng)，而網(wǎng)絡(luò)欺騙技術(shù)和古代戰(zhàn)爭(zhēng)中的計(jì)謀也并不區(qū)別，策略還是那些策略，兵法還是兵法，只是實(shí)施的地點(diǎn)從一個(gè)戰(zhàn)場(chǎng)轉(zhuǎn)移到另一個(gè)戰(zhàn)場(chǎng)罷了。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。