起源于上世纪90年代的蜜罐技术，是运用部署一套模拟真实应用系统，在预先设置的环境中吸引攻击者攻击，然后检测、分析入侵行为，还原攻击者的攻击方式、方法、过程等，并运用所获得的信息保护真实系统。它在恶意代码的检测和样本捕获，入侵检测和攻击特征的提取，网络攻击的取证，僵尸网络的跟踪等方面都有广泛的应用。

之所以叫“蜜罐”，是因为最初设计时，系统中存在着许多漏洞，而这些漏洞正是用来引诱攻击者的，本质上是一种针对攻击者的欺骗技术，只有当蜜罐处于不断地被扫描、攻击甚至破坏的状态时，它才有价值。这个蜜罐实际上没有任何敏感数据。可这样说，能进入蜜罐的，都是可疑行为，都能被确认为黑客，从而采取下一步行动。

在此基础上，提出了运用伪装、诱骗攻击者入侵、诱使攻击者攻击等三种方法来降低对真实系统的威胁。资料捕捉，攻击者若侵入蜜罐，则可透过蜜罐纪录，恢复攻击者在进入和离开蜜罐期间的所有活动过程和其他信息。对威胁资料进行分析，对数据进行分析，还原攻击手法，并对威胁资料进行溯源等。

但是，蜜罐也有其局限性，它只在攻击者攻击时才会起作用。

假如攻击者不触发蜜罐，那么蜜罐就没有意义了，所以现在我们就来看看如何让攻击者能够有效地触摸蜜罐，然后运用相关技术来进行追踪。类似地，如果攻击者识别出一个蜜罐并成功进入，使用相关逃逸0day对蜜罐进行攻击(而蜜罐的记录则不存在)，那么这个蜜罐将被当作一个跳板，对其他的真实企业进行攻击，造成很大的危害。蜜可分为三种：低交互式蜜、中交互式蜜、高交互式蜜。低级互动蜜罐：通常指一个蜜罐系统，它不太依赖于操作系统，只开放一些简单的服务或端口，用于检测扫描和连接，这很容易识别。

中间互动蜜罐：处于低互动和高互动中间，能够模拟操作系统的大量服务，使攻击者看起来更像一个真正的企业，从而发起攻击，使蜜罐获得大量有价值的信息。高度互动：指的是与操作系统互动非常多的蜜罐，它将提供一个更真实的环境，这样更容易吸引入侵者，有利于掌握新的攻击手段和类型，但同样也会存在着潜在的威胁，会对现实网络造成攻击。这个渗透测试行动中，有很大一部分蜜罐被部署在内网中，只有很少一部分被部署在外网中，而外网中的蜜罐能够检测到大量的东西，尤其是域名绑定之后，让攻击者困惑不已。一些厂家的蜜罐可以说是在渗透测试行动中大放异彩，只要攻击者能进入这个蜜罐，在很大程度上就能得到你的社会帐户ID，然后再运用指纹信息恢复攻击者身份画像，这点我相信许多红方还没有预料到，因而被社会工作者所诟病。关于使用的技巧我就不写了，怕明天见不到太阳。蜜罐头不仅能够检测到攻击者的攻击手法，还可以检测到僵尸网络，例如此次渗透测试行动，就有许多肉鸡运用网站logic的漏洞自动对外网发动攻击，然后植入木马病毒等等。公网蜜罐能够很好地检测这种行为，进而收集和跟踪信息。