跳转至

IoT 蜜罐与诱骗技术

难度:🟡 中级 | 领域:威胁情报、入侵检测 | 阅读时间:约 20 分钟

日常类比

商场里放一个看起来很值钱、实际带追踪器的“诱饵包”:小偷拿走后,警察能摸清手法与窝点。

蜜罐(Honeypot)就是网络里的诱饵包:伪装成带弱口令的摄像头或开放 Telnet 的路由器,记录扫描、撞库、下载的恶意样本。情报用来更新真实设备的防护,而不是“钓鱼执法式”主动诱人犯罪。

摘要

本文梳理物联网(Internet of Things, IoT)蜜罐的交互分级、Cowrie/Conpot/IoTPOT 等系统、诱骗(Deception)技术中的蜜令牌/蜜网段,以及威胁情报产出与隔离部署。强调法律伦理边界,并给出局限与可执行改进。攻击时间线与 Top 密码等来自公开蜜罐研究的典型模式,随年份与暴露面变化。

1 分类

1.1 按交互程度

类型 交互深度 复杂度 情报价值 风险
低交互 模拟横幅/固定响应 扫描与撞库字典 极低
中交互 部分命令/协议状态 手法与工具链
高交互 真实或近真实系统 完整攻击链与 0-day 苗头 中高(逃逸)

1.2 按目的

类型 目标 部署位置
研究型 互联网威胁态势 公网暴露
生产型 内网横向检测、拖延 OT/IoT 网段旁路

IoT 特需:模拟 Telnet/MQTT/CoAP/Modbus 等;伪造 banner 与 MAC 前缀;BusyBox 命令集;单机多实例规模化[1][9]。

2 IoT 专用蜜罐

蜜罐 交互 协议侧重 维护
Cowrie 中–高 SSH/Telnet 活跃[2]
IoTPOT 多架构 Telnet 研究遗产[1]
Conpot Modbus/S7/IPMI 等 活跃[7]
Dionaea SMB/HTTP/FTP 等 活跃
HoneyThing / ThingPot 等 低–中 TR-069/MQTT/CoAP 多已停滞或研究向
T-Pot 平台 多蜜罐集成 活跃[5]

低/中交互蜜罐可被指纹识别而遭绕过或回避[3];提高逼真度与“智能交互”是持续课题[4]。

部署要点(Cowrie 类)

  • 容器化监听高位端口再 DNAT 到 22/23,避免与真实管理口冲突
  • 日志进 ELK/SIEM,原始会话与下载样本分权存储
  • 主机只出站到日志通道,禁止扫内网(见第 5 节隔离)

MQTT 等应用层蜜罐

实现 CONNACK/SUBACK 等最小状态机即可收集扫描与异常 PUBLISH;完整 broker 仿真成本更高,但情报更富。务必与真实消息总线网段隔离。

3 诱骗技术(Deception)

不止单蜜罐,而是让攻击者难区分真假资产:

诱饵 描述 信号
蜜罐设备 仿摄像头/PLC/传感器 任意连接可告警
蜜令牌 假 API Key/口令 一经使用即告警
蜜文件 假配置/密钥文件 访问即告警
蜜网段 未用 IP/VLAN 触达即告警
蜜 DNS 假内部名 解析即告警

生产网与诱骗网地址规划要可运营:避免诱饵误成业务依赖;白名单扫描器,减少自扰。

4 威胁情报

维度 内容 用途
网络 源 IP、端口序、扫描节奏 基础设施聚类
认证 用户名/密码组合 更新设备禁用字典
载荷 样本、脚本、URL 恶意软件分析
行为 命令序列、横向尝试 映射 ATT&CK/ICS 技术[6]
时间 昼夜与突发 运营窗口与自动化程度

典型攻击阶段(公网 IoT 暴露面,示意)

  1. 扫描:Banner 抓取,常盯 Telnet/SSH/HTTP
  2. 撞库admin/adminroot/vizxv 等经典组合反复出现(具体 Top‑N 随数据集变)
  3. 侦察uname/proc/cpuinfo 判架构
  4. 投递:wget/curl 或 echo+base64 写 Mirai 变种、挖矿等
  5. 持久化:crontab、替换二进制、清日志

情报宜用 STIX 等结构化导出,共享前脱敏[9]。

5 部署架构与隔离

中央 SIEM/ELK
    ↑ 仅日志 VPN
节点:公网研究 / 家庭旁路 / 工业隔离区
    各跑 Cowrie、MQTT、Conpot 等

硬隔离建议:

  • Docker:--cap-drop ALL、只读根、CPU/内存限额
  • 蜜罐网与生产网禁止路由;日志采集器单向桥接
  • 高交互样本分析在一次性沙箱,不在蜜罐宿主机解包执行

6 法律与伦理

问题 说明 建议
引诱犯罪 主动教唆 vs 被动暴露 只被动等待,不发攻击载荷给第三方
隐私 记录 IP/载荷 遵守当地个保法与留存期限
跨境 攻击者境外 走 CERT/ISAC 渠道
样本持有 恶意软件管控 加密存储、访问审计

上线前做法务评审;对外共享做脱敏与流量协议。

7 局限、挑战与可改进方向

1. 指纹识别导致“聪明攻击者不上钩”

局限:固定 banner、异常快的 shell、缺失真实文件系统特征,会被系统性指纹后绕开[3]。 改进:真实设备流量与延迟建模;定期轮换指纹;中高交互与低交互混布。

2. 高交互逃逸与横向风险

局限:真实内核/容器逃逸可打到宿主机或跳板进生产网。 改进:物理或云账号级隔离;无内网路由;高交互仅研究区;内核利用样本自动销毁实例。

3. 情报噪声与自动化扫描占比过高

局限:互联网绝大多数是僵尸扫描,人工 APT 信号被淹没。 改进:会话长度/命令多样性评分;与商业/开源威胁情报碰撞;只对“下载样本+交互命令”提级告警。

4. OT/IoT 协议蜜罐逼真度不足

局限:Modbus/S7 模拟寄存器与真实工艺对不上,内网攻击者一眼识破。 改进:录制真实只读工艺影子数据;与数字孪生只读副本联动;严格只读,防止诱饵被当成控制器误操作。

5. 运营成本与法律不确定

局限:7×24 值守、样本分析、跨境合规使中小团队难持续。 改进:优先 T-Pot 类集成平台[5];外包分析但保留原始日志所有权;先生产型低交互内网诱饵,再开研究型公网节点。

8 实践路径(简)

  1. 虚拟机跑 Cowrie,观察 24–72 h 日志
  2. 统计口令与来源,更新真实设备禁用列表
  3. 上 T-Pot 或等价集成平台
  4. 按需加 MQTT/Conpot
  5. 接入 SIEM,写隔离与样本处理 runbook

参考文献

[1] Y. M. P. Pa et al., "IoTPOT: A Novel Honeypot for Revealing Current IoT Threats," Journal of Information Processing, 2016. [2] M. Oosterhof, "Cowrie SSH/Telnet Honeypot," GitHub, 持续维护. [3] A. Vetterl and R. Clayton, "Bitter Harvest: Systematically Fingerprinting Low- and Medium-interaction Honeypots," USENIX WOOT, 2018. [4] T. Luo et al., "IoTCandyJar: Towards an Intelligent-Interaction IoT Honeypot," Black Hat USA, 2017. [5] Deutsche Telekom Security, "T-Pot: The All In One Multi Honeypot Platform," GitHub, 2024. [6] MITRE, "ATT&CK for ICS," 近年版本. [7] Conpot 项目文档, ICS/SCADA Honeypot, 近年版本. [8] S. Dowling et al., "A ZigBee Honeypot to Assess IoT Cyberattack Behaviour," IEEE PIMRC, 2017. [9] M. S. Hakim et al., "A Survey on IoT Honeypots: Techniques, Threats, and Opportunities," IEEE Access, 2023. [10] L. Spitzner, "Honeypots: Tracking Hackers," Addison-Wesley, 2003. [11] ENISA, 蜜罐与威胁情报共享相关指导, 近年版本. [12] OASIS, "STIX/TAXII" 规范, 2.x.