當你發(fā)現(xiàn)自己正在遭遇黑客攻擊，你是否想到佯裝被騙，將計就計來迷惑甚至反擊黑客？

這聽起來有些玄乎，但類似的事情居然在一千年之前就曾發(fā)生過。

赤壁之戰(zhàn)前夕，周瑜佯裝醉酒，故意讓曹操派來的間諜蔣干盜走一封降書，讓曹操錯殺了曹瑁、張允兩位將領，不費一兵一卒就除掉了自己的眼中釘。這個“蔣干盜書”的歷史典故如果發(fā)生在當今網絡攻防的環(huán)境下，情節(jié)可能是這樣：

曹氏集團派出黑客蔣干成功滲透到競爭對手東吳集團內部，成功拿到東吳集團高管的郵箱權限。

根據郵件透露，曹氏集團的核心技術骨干蔡瑁、張允曾多次和東吳集團通信，出賣核心技術資料。

情報傳回曹氏集團后，蔡、張二人很快被當做“內鬼”處理，被冤枉的二人心生怨恨，于是跳槽到東吳集團。而事實情況卻是，那封郵件是東吳集團的網絡高手周瑜偽造，故意放出來給攻擊者的 “蜜餌”。

周瑜發(fā)現(xiàn)黑客入侵后，沒有選擇一味的防御，而是主動出擊設置陷阱將計就計，最終用很小的代價就挖到了對手的兩位核心技術骨干。

【歷史典故的攻防分析（By arkteam)】

以上內容雖是雷鋒網基于歷史典故的虛構，但事實上，在如今的商業(yè)甚至國家網絡安全層面的網絡攻防中，諸如此類的“防御者詭計”，早已經被用得淋漓盡致，甚至已經發(fā)展成了一項專門的技術。

攻防中的網絡欺騙

最初，這些借刀殺人，以逸待勞的計謀，更多被用于進攻，比如：

水坑攻擊，黑客先攻破企業(yè)內網的一個普通站點，然后將受害者必須下載的文檔替換成了木馬，從而讓對方自投羅網，以逸待勞。

魚叉式釣魚，先搞定你的客戶的電腦，然后用他的賬號給你發(fā)帶木馬的郵件，借刀殺人。

除此之外，攻擊者還會利用各種各樣的人性弱點，進行社會工程學攻擊。

因為攻擊者總是處于主動、有利的位置，傳統(tǒng)的被動式防御措施在如此攻勢下難免捉襟見肘，可一旦防御者能采取網絡欺騙的策略，反向欺騙回去，情況則大不相同。

在 FIT 2017 互聯(lián)網安全創(chuàng)新大會上，Arkteam 安全團隊的劉潮歌進行了一場名為“防御者的詭計”的主題演講，講述了在現(xiàn)如今網絡攻防當中，網絡防御者如何通過將計就計的手段來迷惑、拖延甚至反擊對手。

在劉潮歌看來，與其把網絡欺騙作為一門技術，更不如稱之為一種應對策略。在APT 攻擊（高級持續(xù)性威脅）日益增多的環(huán)境下，一味的防守最終會束手無策，而網絡欺騙則打開了新的思路。

他認為，網絡欺騙相較于傳統(tǒng)的被動式防御，是一種更為積極主動的防御方式，它的優(yōu)勢主要體現(xiàn)在三個方面：

1. 可以發(fā)現(xiàn)網絡攻擊：對于一個網絡攻擊，及時的發(fā)現(xiàn)它是非常重要的，而網絡欺騙可以幫助防御者發(fā)現(xiàn)正在進行的攻擊，甚至是潛在的攻擊。

2.可以“黏住”網絡攻擊：通過迷惑攻擊者，達到消耗對方時間精力，從而為后續(xù)的防御工作留下時間，或者迫使對方放棄此次攻擊。

3. 可以溯源和反制：通過欺騙來讓對方暴露自己的攻擊意圖和攻擊手段，最終可以溯源取證和采取反制措施。

網絡欺騙的關鍵技術有哪些？

提及網絡欺騙的具體技術手段，劉潮歌說，網絡欺騙的關鍵技術通常有四部分：蜜罐、蜜餌/蜜標/面包屑、虛擬資產和影子服務。

1.蜜罐

蜜罐技術如今已經成為一項很常見的網絡防御措施，顧名思義，蜜罐就是網絡防御者精心布置的“黑匣子”，專門用來引誘黑客攻擊的服務器?？此坡┒窗俪觯瑢崉t盡在掌握，它的作用就是讓黑客入侵，借此收集證據，同時隱藏真實的服務器地址。一臺合格的蜜罐不僅擁有發(fā)現(xiàn)攻擊、產生警告、數(shù)據記錄、欺騙、協(xié)助調查的功能，在必要時還可以根據蜜罐收集的證據來起訴入侵者。

【蜜罐應用示意圖】

2.蜜餌/蜜標/面包屑

這些方式和蜜罐技術類似，只是具體實施手法不同。蜜餌通常是布置一些攻擊者可能感興趣的資源作為誘餌，比如某某作戰(zhàn)計劃、某某商業(yè)合同等等，平常狀態(tài)下，這些文件不會被打開，因此一旦發(fā)現(xiàn)這些這些文件被他人碰觸或打開，則基本可以斷定有人入侵，有必要仔細檢查一下內網的安全了。

【蜜餌應用示意圖】

蜜標同樣如此，很多人不知道的是，我們常用的 Word 文檔、PDF 文檔中其實可以植入一個URL地址，當攻擊者打開這個文件時，鏈接可以被自動打開，而且是以 HTTP 的形式打開，因此當攻擊者打開蜜標文件時，防御者就可以借機獲取他的IP地址、瀏覽器指紋等攻擊者的信息，從而溯源攻擊者。

【蜜標應用示意圖】

和蜜餌/蜜標相比，面包屑更為主動，防御者通過故意釋放出更多更零散的虛假信息，比如虛假的 Cookie 信息、虛假的瀏覽器記錄密碼、SSH 秘鑰、VPN 秘鑰等等，許多攻擊者拿到這些信息時，往往會以為自己撿到了寶貝，殊不知自己得到的是一劑“毒藥”，這些面包屑會將攻擊者引誘至提前布置好的蜜罐或影子服務當中，從而甕中捉鱉。

無論是蜜罐、蜜餌還是面包屑，都是基于“誘餌”的思想，這些誘餌既可以是一些虛假的代碼注釋，可以是故意用來給攻擊者的虛假網站后臺，可以是一條數(shù)據庫記錄，當有人用SQL注入來獲取這條記錄的時候，就相當于給你報警了。

劉潮歌強調，如果企業(yè)希望通過網絡欺騙來進行防御，那么不妨提前根據自身的網絡環(huán)境來了解，哪些東西可以真正作為誘餌。

3.影子服務

影子服務是由 ArkTeam 自己提出來的防御方式，較傳統(tǒng)的蜜罐來說更具有迷惑性和實用性，但也更加復雜。所謂影子服務，就是一個和真實服務看起來一模一樣的網絡服務，不同的是，真實服務提供給用戶，而影子服務提供給攻擊者。當有一些可疑流量過來時，可以先把它帶到影子服務器上進行監(jiān)控分析，如果發(fā)現(xiàn)是攻擊者，則進行下一步監(jiān)控、警報和記錄攻擊行為。

【影子服務應用示意圖】

4.虛擬資產

除了誘餌，防御者還想到了為自己的重要資產找一些“替身”，這就是虛擬資產。在傳統(tǒng)的防御狀態(tài)下，一個企業(yè)的內部網絡對于黑客來說并不會太復雜，只要突破內外網的圍墻式防御就可以為所欲為，很快就能接觸到企業(yè)的重要資產，因此有人也將圍墻式的防御比作是椰子，外表很堅固，里面很美味。

但如果防御者部署了大量虛擬資產，則可以讓攻擊者無法觸碰到真實資產，讓他好似進入迷宮找不到出口，一步步耗費時間精力，贏得更多反擊時間，甚至逼迫對方主動放棄攻擊。

從某種層面來說，影子服務也起到了類似的作用——“黏”住黑客。

【圖片來源：長亭科技】

網絡欺騙對防御者越來越重要

雷鋒網注意到，劉潮歌在演講中多次強調一件事——網絡欺騙將逐漸在網絡攻防中扮演越來越重要的位置。他說，2014 年美國空軍發(fā)布了一個研究報告（BAA-RIK-14-07), 指出要研究網絡欺騙技術，并在次年簽訂了兩份總值9800萬美元的合同，其中一份就是關于網絡欺騙技術的。美國軍方公開采購了這一合同，這在學術界或商業(yè)界都實屬罕見。

【美軍發(fā)布網絡欺騙相關報告】

在商業(yè)應用方面，專業(yè)研究機構 Gartner 也在2015年7月發(fā)布的報告中也指出，基于欺騙的安全防御技術將會有很大的市場前景，并預測到2018年，將會有10%的單位使用欺騙工具或策略來對抗網絡攻擊。

甚至在學術界，網絡欺騙也逐漸得到重視，2016 年7月，Springer 出版了一本名為《Cyber Deception: Building the Scientific Foundation 》的書籍，書中集合了世界各地頂級網絡欺騙研究人員的最新研究，目的就是為網絡欺騙建立學科基礎。

雷鋒網編輯認為，世間萬事萬物，道理總是相通，有人說商場如戰(zhàn)場，有人說官場如戰(zhàn)場，也許在劉潮歌的眼中，網絡世界也是一片充滿謀略、爾虞我詐的戰(zhàn)場，而網絡欺騙技術和古代戰(zhàn)爭中的計謀也并不區(qū)別，策略還是那些策略，兵法還是兵法，只是實施的地點從一個戰(zhàn)場轉移到另一個戰(zhàn)場罷了。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。