當(dāng)你發(fā)現(xiàn)自己正在遭遇黑客攻擊，你是否想到佯裝被騙，將計就計來迷惑甚至反擊黑客？

這聽起來有些玄乎，但類似的事情居然在一千年之前就曾發(fā)生過。

赤壁之戰(zhàn)前夕，周瑜佯裝醉酒，故意讓曹操派來的間諜蔣干盜走一封降書，讓曹操錯殺了曹瑁、張允兩位將領(lǐng)，不費一兵一卒就除掉了自己的眼中釘。這個“蔣干盜書”的歷史典故如果發(fā)生在當(dāng)今網(wǎng)絡(luò)攻防的環(huán)境下，情節(jié)可能是這樣：

曹氏集團(tuán)派出黑客蔣干成功滲透到競爭對手東吳集團(tuán)內(nèi)部，成功拿到東吳集團(tuán)高管的郵箱權(quán)限。

根據(jù)郵件透露，曹氏集團(tuán)的核心技術(shù)骨干蔡瑁、張允曾多次和東吳集團(tuán)通信，出賣核心技術(shù)資料。

情報傳回曹氏集團(tuán)后，蔡、張二人很快被當(dāng)做“內(nèi)鬼”處理，被冤枉的二人心生怨恨，于是跳槽到東吳集團(tuán)。而事實情況卻是，那封郵件是東吳集團(tuán)的網(wǎng)絡(luò)高手周瑜偽造，故意放出來給攻擊者的 “蜜餌”。

周瑜發(fā)現(xiàn)黑客入侵后，沒有選擇一味的防御，而是主動出擊設(shè)置陷阱將計就計，最終用很小的代價就挖到了對手的兩位核心技術(shù)骨干。

　　【歷史典故的攻防分析（By arkteam)】

以上內(nèi)容雖是雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))基于歷史典故的虛構(gòu)，但事實上，在如今的商業(yè)甚至國家網(wǎng)絡(luò)安全層面的網(wǎng)絡(luò)攻防中，諸如此類的“防御者詭計”，早已經(jīng)被用得淋漓盡致，甚至已經(jīng)發(fā)展成了一項專門的技術(shù)。

攻防中的網(wǎng)絡(luò)欺騙

最初，這些借刀殺人，以逸待勞的計謀，更多被用于進(jìn)攻，比如：

水坑攻擊，黑客先攻破企業(yè)內(nèi)網(wǎng)的一個普通站點，然后將受害者必須下載的文檔替換成了木馬，從而讓對方自投羅網(wǎng)，以逸待勞。

魚叉式釣魚，先搞定你的客戶的電腦，然后用他的賬號給你發(fā)帶木馬的郵件，借刀殺人。

除此之外，攻擊者還會利用各種各樣的人性弱點，進(jìn)行社會工程學(xué)攻擊。

因為攻擊者總是處于主動、有利的位置，傳統(tǒng)的被動式防御措施在如此攻勢下難免捉襟見肘，可一旦防御者能采取網(wǎng)絡(luò)欺騙的策略，反向欺騙回去，情況則大不相同。

在 FIT 2017 互聯(lián)網(wǎng)安全創(chuàng)新大會上，Arkteam 安全團(tuán)隊的劉潮歌進(jìn)行了一場名為“防御者的詭計”的主題演講，講述了在現(xiàn)如今網(wǎng)絡(luò)攻防當(dāng)中，網(wǎng)絡(luò)防御者如何通過將計就計的手段來迷惑、拖延甚至反擊對手。

在劉潮歌看來，與其把網(wǎng)絡(luò)欺騙作為一門技術(shù)，更不如稱之為一種應(yīng)對策略。在APT 攻擊（高級持續(xù)性威脅）日益增多的環(huán)境下，一味的防守最終會束手無策，而網(wǎng)絡(luò)欺騙則打開了新的思路。

他認(rèn)為，網(wǎng)絡(luò)欺騙相較于傳統(tǒng)的被動式防御，是一種更為積極主動的防御方式，它的優(yōu)勢主要體現(xiàn)在三個方面：

1. 可以發(fā)現(xiàn)網(wǎng)絡(luò)攻擊：對于一個網(wǎng)絡(luò)攻擊，及時的發(fā)現(xiàn)它是非常重要的，而網(wǎng)絡(luò)欺騙可以幫助防御者發(fā)現(xiàn)正在進(jìn)行的攻擊，甚至是潛在的攻擊。

2.可以“黏住”網(wǎng)絡(luò)攻擊：通過迷惑攻擊者，達(dá)到消耗對方時間精力，從而為后續(xù)的防御工作留下時間，或者迫使對方放棄此次攻擊。

3. 可以溯源和反制：通過欺騙來讓對方暴露自己的攻擊意圖和攻擊手段，最終可以溯源取證和采取反制措施。

網(wǎng)絡(luò)欺騙的關(guān)鍵技術(shù)有哪些？

提及網(wǎng)絡(luò)欺騙的具體技術(shù)手段，劉潮歌說，網(wǎng)絡(luò)欺騙的關(guān)鍵技術(shù)通常有四部分：蜜罐、蜜餌/蜜標(biāo)/面包屑、虛擬資產(chǎn)和影子服務(wù)。

1.蜜罐

蜜罐技術(shù)如今已經(jīng)成為一項很常見的網(wǎng)絡(luò)防御措施，顧名思義，蜜罐就是網(wǎng)絡(luò)防御者精心布置的“黑匣子”，專門用來引誘黑客攻擊的服務(wù)器。看似漏洞百出，實則盡在掌握，它的作用就是讓黑客入侵，借此收集證據(jù)，同時隱藏真實的服務(wù)器地址。一臺合格的蜜罐不僅擁有發(fā)現(xiàn)攻擊、產(chǎn)生警告、數(shù)據(jù)記錄、欺騙、協(xié)助調(diào)查的功能，在必要時還可以根據(jù)蜜罐收集的證據(jù)來起訴入侵者。

　　【蜜罐應(yīng)用示意圖】

2.蜜餌/蜜標(biāo)/面包屑

這些方式和蜜罐技術(shù)類似，只是具體實施手法不同。蜜餌通常是布置一些攻擊者可能感興趣的資源作為誘餌，比如某某作戰(zhàn)計劃、某某商業(yè)合同等等，平常狀態(tài)下，這些文件不會被打開，因此一旦發(fā)現(xiàn)這些這些文件被他人碰觸或打開，則基本可以斷定有人入侵，有必要仔細(xì)檢查一下內(nèi)網(wǎng)的安全了。

　　【蜜餌應(yīng)用示意圖】

蜜標(biāo)同樣如此，很多人不知道的是，我們常用的 Word 文檔、PDF 文檔中其實可以植入一個URL地址，當(dāng)攻擊者打開這個文件時，鏈接可以被自動打開，而且是以 HTTP 的形式打開，因此當(dāng)攻擊者打開蜜標(biāo)文件時，防御者就可以借機(jī)獲取他的IP地址、瀏覽器指紋等攻擊者的信息，從而溯源攻擊者。

　　【蜜標(biāo)應(yīng)用示意圖】

和蜜餌/蜜標(biāo)相比，面包屑更為主動，防御者通過故意釋放出更多更零散的虛假信息，比如虛假的 Cookie 信息、虛假的瀏覽器記錄密碼、SSH 秘鑰、VPN 秘鑰等等，許多攻擊者拿到這些信息時，往往會以為自己撿到了寶貝，殊不知自己得到的是一劑“毒藥”，這些面包屑會將攻擊者引誘至提前布置好的蜜罐或影子服務(wù)當(dāng)中，從而甕中捉鱉。

無論是蜜罐、蜜餌還是面包屑，都是基于“誘餌”的思想，這些誘餌既可以是一些虛假的代碼注釋，可以是故意用來給攻擊者的虛假網(wǎng)站后臺，可以是一條數(shù)據(jù)庫記錄，當(dāng)有人用SQL注入來獲取這條記錄的時候，就相當(dāng)于給你報警了。

劉潮歌強(qiáng)調(diào)，如果企業(yè)希望通過網(wǎng)絡(luò)欺騙來進(jìn)行防御，那么不妨提前根據(jù)自身的網(wǎng)絡(luò)環(huán)境來了解，哪些東西可以真正作為誘餌。

3.影子服務(wù)

影子服務(wù)是由 ArkTeam 自己提出來的防御方式，較傳統(tǒng)的蜜罐來說更具有迷惑性和實用性，但也更加復(fù)雜。所謂影子服務(wù)，就是一個和真實服務(wù)看起來一模一樣的網(wǎng)絡(luò)服務(wù)，不同的是，真實服務(wù)提供給用戶，而影子服務(wù)提供給攻擊者。當(dāng)有一些可疑流量過來時，可以先把它帶到影子服務(wù)器上進(jìn)行監(jiān)控分析，如果發(fā)現(xiàn)是攻擊者，則進(jìn)行下一步監(jiān)控、警報和記錄攻擊行為。

　　【影子服務(wù)應(yīng)用示意圖】

4.虛擬資產(chǎn)

除了誘餌，防御者還想到了為自己的重要資產(chǎn)找一些“替身”，這就是虛擬資產(chǎn)。在傳統(tǒng)的防御狀態(tài)下，一個企業(yè)的內(nèi)部網(wǎng)絡(luò)對于黑客來說并不會太復(fù)雜，只要突破內(nèi)外網(wǎng)的圍墻式防御就可以為所欲為，很快就能接觸到企業(yè)的重要資產(chǎn)，因此有人也將圍墻式的防御比作是椰子，外表很堅固，里面很美味。

但如果防御者部署了大量虛擬資產(chǎn)，則可以讓攻擊者無法觸碰到真實資產(chǎn)，讓他好似進(jìn)入迷宮找不到出口，一步步耗費時間精力，贏得更多反擊時間，甚至逼迫對方主動放棄攻擊。

從某種層面來說，影子服務(wù)也起到了類似的作用——“黏”住黑客。

　　【圖片來源：長亭科技】

網(wǎng)絡(luò)欺騙對防御者越來越重要

雷鋒網(wǎng)注意到，劉潮歌在演講中多次強(qiáng)調(diào)一件事——網(wǎng)絡(luò)欺騙將逐漸在網(wǎng)絡(luò)攻防中扮演越來越重要的位置。他說，2014 年美國空軍發(fā)布了一個研究報告（BAA-RIK-14-07), 指出要研究網(wǎng)絡(luò)欺騙技術(shù)，并在次年簽訂了兩份總值9800萬美元的合同，其中一份就是關(guān)于網(wǎng)絡(luò)欺騙技術(shù)的。美國軍方公開采購了這一合同，這在學(xué)術(shù)界或商業(yè)界都實屬罕見。

　　【美軍發(fā)布網(wǎng)絡(luò)欺騙相關(guān)報告】

在商業(yè)應(yīng)用方面，專業(yè)研究機(jī)構(gòu) Gartner 也在2015年7月發(fā)布的報告中也指出，基于欺騙的安全防御技術(shù)將會有很大的市場前景，并預(yù)測到2018年，將會有10%的單位使用欺騙工具或策略來對抗網(wǎng)絡(luò)攻擊。

甚至在學(xué)術(shù)界，網(wǎng)絡(luò)欺騙也逐漸得到重視，2016 年7月，Springer 出版了一本名為《Cyber Deception: Building the Scientific Foundation 》的書籍，書中集合了世界各地頂級網(wǎng)絡(luò)欺騙研究人員的最新研究，目的就是為網(wǎng)絡(luò)欺騙建立學(xué)科基礎(chǔ)。

雷鋒網(wǎng)編輯認(rèn)為，世間萬事萬物，道理總是相通，有人說商場如戰(zhàn)場，有人說官場如戰(zhàn)場，也許在劉潮歌的眼中，網(wǎng)絡(luò)世界也是一片充滿謀略、爾虞我詐的戰(zhàn)場，而網(wǎng)絡(luò)欺騙技術(shù)和古代戰(zhàn)爭中的計謀也并不區(qū)別，策略還是那些策略，兵法還是兵法，只是實施的地點從一個戰(zhàn)場轉(zhuǎn)移到另一個戰(zhàn)場罷了。