我并不是说防火墙日志和入侵检测系统的报告是毫无价值的。事实上它们确实认真地履行了各自的任务。不过当你看到如此大量的信息和报告，而其中大部分都是对系统没有威胁的无目的的扫描时，你肯定会感到很沮丧。难道真的没有一种更好的安全防范方法么？

     Honeypot解决信息过量问题

      从某些角度来说，honeypot也许是一个更好的方法。Honeypot主要分为两类，真实的和虚拟的，这两类都是入侵者的诱饵。Honeypot这个概念来自几年前，那时候网络管理员希望有一种方法来找出到底是谁在探测网络。有句至理名言说“要想人不知，除非己莫为”，如果有人在探测网络，只要他向外发送数据，就一定会被察觉。因此有人利用了这个道理，在网络中建立了一个诱饵系统，它可以不时地向外发送与Windows网络服务有关的数据包，而那些监听网络的黑客获取数据包后，肯定会通过DNS查询来确定这个诱饵系统的更多资料。一旦DNS查询完成，则发送查询的主机名和IP地址包括查询时间就都会被记录下来。

      由于这种技术提出的较早，因此诱饵系统或者说是honeypots发展的非常迅速。到目前，有不少公司都能提供多种honeypot解决方案。如果你关注网络安全，那么honeypot系统确实能让你获益匪浅。但在应用honeypot系统前，你需要在真实的honeypot或虚拟honeypot之间做个选择。

     真实vs虚拟

      对于真实或是虚拟honeypot的选择方面，你需要考虑的是风险和回报。虚拟honeypot比较廉价，但也有一定安全风险，它在抓住黑客方面做得没有真实的honeypot好。另一方面，虽然真实的honeypot在入侵检测方面比虚拟honeypot好很多，但最顶级的黑客有可能利用真实的honeypot接管你的网络。

     虚拟honeypot的优势

      虚拟honeypot说白了是一个仿真程序。比如虚拟honeypot一般可以仿真FTP服务器，并监视所有的TCP和UDP端口并记录所有端口的活动情况。当黑客发现这个虚假的（他本人不知道）FTP时，就会试图开启一个FTP对话。这时虚拟FTP服务器（虚拟honeypot）就会记录下这个黑客的所有活动。比如honeypot会记录下哪个端口被使用、采用何种认证机制等。而虚拟FTP服务器会和真正的FTP服务器一样对黑客的行为作出响应。更好的是，由于这是个虚拟的FTP服务器，它没有真正的操作系统，因此就算黑客攻入了FTP，也不会进一步控制你网络中的其它电脑。

[1] [2] [3] 下一页