国内首发系列（1）：进击的客户端蜜罐 – 作者:黑豹cyd0-安全小百科

安全背景

随着计算机网络的飞速发展，网络渗透，敏感信息盗取等攻击行为每天都发生在我们的身边。黑客利用各种服务器软硬件漏洞，获得服务器的控制权，并继续渗透入侵，以获得他们需要的信息。防火墙，入侵检测系统的广泛使用，使得黑客们常用的以使用服务器端软硬件漏洞为主的入侵方式成功率越来越低，因此攻击者开始使用新的，更加简便的攻击方式，客户端攻击。

客户端攻击以客户端软件漏洞为攻击目标，在各类客户端软件被广泛使用的今天，已经逐渐成为黑客们常用的攻击方式。在对抗传统攻击的过程中，安全研究人员提出了极富创造力的蜜罐理论并开发出各类不同的蜜罐系统，为研究和检测传统攻击方式做出了巨大的贡献。然而，新的客户端攻击方式的出现，使得针对传统攻击的蜜罐系统失去了作用，基于此，天翼安全提出了针对客户端攻击的客户端蜜罐。

安全创新

我司新研发docker沙箱，模拟应用服务、客户端服务，以及真实业务系统，最大程度进行业务仿真，迷惑攻击者。

除了服务型蜜罐：Mysql、ftp、ssh、snmp、ICS-s7comm（工控）、ICS-modbus（工控）、samba、web_server、honeycomb之外，还推出国内首家客户端蜜罐：

ssdp沙箱使用的简单服务发现协议（SSDP，Simple Service Discovery Protocol）是一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一。

nbns沙箱使用的网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。

安全原理

客户端蜜罐用来检测客户端攻击。现在以检测恶意网页和恶意服务器为主。客户端蜜罐主动与网页服务器交互，并检测服务器返回的数据中是否包含攻击用户浏览器及插件的行为。

客户端攻击利用了客户端应用软件漏洞，用户访问一个被放置了恶意数据的服务器，当用户主机上有漏洞的应用软件处理这些恶意数据时，用户主机就可能被攻陷并执行恶意代码。而如果用户不去访问那些恶意服务器，那么他们的主机不会遭受客户端攻击。

因此，客户端攻击需要用户首先发起会话，这使得使用守株待兔方式的传统蜜罐无用武之地。传统的蜜罐系统一般都是服务器端的蜜罐系统，它们不能用于监测和研究客户端攻击，这些蜜罐系统所部署的漏洞及缺陷都以服务方式运行，等待入侵者找到它们并实施攻击。但对于客户端攻击，为了实现对其进行检测，系统必须主动与恶意服务器通信或处理恶意的数据，并区分出正常服务器与恶意服务器。

综上所述，客户端蜜罐系统具有如下特点：