上兵伐謀，其次伐交，其次伐兵，其下攻城?！獙O子兵法《謀攻篇》

引子

某些職業(yè)天生受人敬畏，因?yàn)樗腿说哪硞€優(yōu)秀特質(zhì)相連。舞蹈，讓人們想到優(yōu)美的形體；長跑，讓人想到堅(jiān)毅的品質(zhì)。而黑客，讓人聯(lián)想到高超的技術(shù)。

現(xiàn)實(shí)世界的每一個個人和組織，都在網(wǎng)絡(luò)世界的版圖中對應(yīng)著屬于自己的一座或大或小的城池。而在險(xiǎn)惡的互聯(lián)網(wǎng)叢林中，每座城市都隨時(shí)面臨來自黑暗中的突施冷箭。

凡是武林中人，總有正邪之分。

邪惡的黑客，常常打著技術(shù)無罪的大旗，帶領(lǐng)盜匪企圖殺入城中燒殺搶掠；而正義的黑客，手握武器高立城頭，用正義的子彈射穿入侵者的喉嚨。

誠然，很多人想到黑客，就會聯(lián)想到高超的技術(shù)。但是，當(dāng)你真正了解到賽博世界殊死搏斗的真相，你就會理解，對于黑客的最高褒賞，并不是攻城略地的高超技術(shù)，而是不戰(zhàn)而屈人之兵的閃光智慧。

諸葛亮不費(fèi)一兵一卒，靠一曲琴音喝退司馬懿十萬大軍，守衛(wèi)三分天下；

艾森豪威爾運(yùn)籌帷幄，讓德軍主力撲空加萊，才有人類的榮耀之日——諾曼底登陸；

《盜夢空間》中的造夢師們正是通過潛意識的進(jìn)攻，讓能源巨頭的繼承者費(fèi)舍自愿解散公司。

《孫子兵法》有云，攻城為下，攻心為上。

中國黑客的“欺騙系統(tǒng)”

黑客的世界之所以吸引人，恰恰因?yàn)槲覀冊诂F(xiàn)實(shí)世界的一切幻想，都在這里真實(shí)地發(fā)生著。入侵企業(yè)，獲得大量機(jī)密資料，可以在商場上給對手致命一擊。

這是一個真實(shí)的故事，某知名企業(yè)董事會剛剛散會，競爭對手的桌子上就擺好了他們的會議紀(jì)要；董事長剛剛寫好的文件，自己公司還沒有來得及印發(fā)，對手已經(jīng)全公司傳閱。自己企業(yè)最新設(shè)計(jì)的手機(jī)原型機(jī)，還沒有來得及生產(chǎn)，對手已經(jīng)根據(jù)圖紙進(jìn)行了仿造并且占領(lǐng)了市場。

我們看到的商業(yè)競爭，背后幾乎都有著不可言說的賽博世界的血戰(zhàn)，而這血戰(zhàn)背后可能決定著一個人一生的興衰榮辱。為了這個目標(biāo)，邪惡的黑客們可以使出最惡毒的招數(shù)來滲透、入侵。

但是，這個世界之所以沒有讓人絕望透頂，恰恰是因?yàn)橛姓x的黑客挺身而出，自愿構(gòu)建一個強(qiáng)大的天網(wǎng)，和邪惡作斗爭。這些黑客，就包括潛行十幾年，用自己的技術(shù)深刻改變了中國在世界政治中地位的中國第一代黑客 CP 和 la0wang，還有曾經(jīng)在騰訊一馬當(dāng)先抵御網(wǎng)絡(luò)黑產(chǎn)的安全大牛 Oscar 和可以用一串代碼平趟所有網(wǎng)站的烏云一哥 Jannock。

2014年，這些代表了全中國最強(qiáng)黑客火力的黑客們走到了一起，成立了一家名為“錦行科技”的“團(tuán)伙”。這個團(tuán)伙的首要目標(biāo)，就是要消滅黑客雇傭兵對于企業(yè)骯臟的攻擊和瘋狂的信息竊取。

而他們的獨(dú)門武器，就是“網(wǎng)絡(luò)空間欺騙系統(tǒng)”——幻云。

從哲學(xué)上來看，這世間一切的成就，都來自于對信息的確定。例如，

如果你可以看透對手下一步要走的棋子，那么你就會勝券在握；

如果你可以偵聽到女神的思維信息，那么你表白成功的概率就會暴增；

如果你確定知道明天有哪支股票會漲，那么你一定可以身價(jià)翻倍。

但是，如果你以為是確定的信息，在事實(shí)上都是假的呢？讓對手相信他掌握了你的確定信息，而這恰恰是你制造出來的幻覺，這就已經(jīng)在防御上處于絕對的上風(fēng)。簡單來說，幻云就試圖制造這樣一個欺騙系統(tǒng)，讓入侵的黑客以為自己進(jìn)入了企業(yè)內(nèi)部，而實(shí)際上他只是進(jìn)入了一個精心構(gòu)建的虛擬世界，一個如來佛祖掌握在手心的盜夢空間，一個他每走一步就多暴露自己一點(diǎn)的玻璃屋中。

蜜罐、蜜網(wǎng)和蜜場

剛剛扯的那么多欺騙哲學(xué)，究竟要怎么實(shí)現(xiàn)呢？

雷鋒網(wǎng)宅客頻道有機(jī)會和錦行科技的幾位大牛對談，他們提出了三個有趣的概念：蜜罐、蜜網(wǎng)和蜜場。

蜜罐

蜜罐是一個非常形象的詞匯：蜜 + 罐，英文單詞也是 honey + pot。

蜜代表了甜頭好處，也就是攻擊者有可能感興趣的特征，而罐代表了一個環(huán)境，通過這個環(huán)境，可以捕捉入侵者的行為。

形象地說，這就像生長在美洲的捕蠅草。利用甜美的氣息吸引蒼蠅前來覓食，然而一旦蒼蠅進(jìn)入陷阱，它的命運(yùn)就會急轉(zhuǎn)直下。

雖說進(jìn)入蜜罐的黑客并不會葬身于此，但是卻留下了自己的攻擊工具和攻擊痕跡。研究了黑客使用的工具，防御者就可以輕松研發(fā)相對應(yīng)的對抗工具，就像人的肌體，獲得了對新病毒的免疫能力。

錦行科技產(chǎn)品總監(jiān)胡鵬為雷鋒網(wǎng)宅客頻道進(jìn)行了簡單的科普，

蜜罐一般分為低交互蜜罐和高交互蜜罐，低交互蜜罐一般用于報(bào)警或者獲取一些攻擊代碼，高交互蜜罐用于深入觀察攻擊者行為并分析。

但是總體來說，蜜罐的問題在于，環(huán)境過于單一，特征很明顯，攻擊者容易識別。

想象一下，如果蒼蠅都記住了捕蠅草的形狀，相信捕蠅草今后只能捕到各種磚頭石塊了。

蜜網(wǎng)

簡單來說，蜜網(wǎng)就是有組織的蜜罐，用各式蜜罐來構(gòu)建一個欺騙網(wǎng)絡(luò)。對于黑客來說，在賽博空間內(nèi)他們無法依靠視覺。他們就像一個小偷潛入一個漆黑的別墅，其中所有的陳設(shè)都需要他們靠手來觸摸，然后自己標(biāo)記，在心里繪制出一副他們“想象中”的內(nèi)部地圖。

如果潛入的黑客是一個經(jīng)驗(yàn)老到的慣犯，僅僅摸到一個假門，仔細(xì)摸索發(fā)現(xiàn)門后空無一物，那么他就可以判定這道門就是一個蜜罐。

然而如果用不同的蜜罐組成蜜網(wǎng)，小偷就會相信門后面有一個房間，里面陳設(shè)著衣柜沙發(fā)書桌等等。在小偷摸索的過程中，蜜網(wǎng)設(shè)置者就有更充足的時(shí)間來觀察來者，等待他使用更多的進(jìn)攻工具，從而制造出更全面的防護(hù)武器。

但是，正如剛才的比喻，蜜網(wǎng)只是一個假設(shè)在真實(shí)別墅里的虛擬房間，小偷在摸進(jìn)蜜網(wǎng)之前，勢必有可能經(jīng)過其他真實(shí)的房間，由于蜜網(wǎng)設(shè)置在企業(yè)真實(shí)的系統(tǒng)之內(nèi)，對于企業(yè)來說，仍然存在被黑客攻擊的可能。

于是蜜場就出現(xiàn)了。

蜜場

所謂蜜場，就是利用蜜罐、蜜網(wǎng)完整模擬出一個公司的所有架構(gòu)。相當(dāng)于再造一個企業(yè)的別墅，然后放一個傳送門（重定向器），一旦探測到可能的攻擊，就直接把黑客的流量轉(zhuǎn)移到假的別墅（蜜場）中。

只要黑客進(jìn)入蜜場，他想要的一切都可以被“找到”，他要的核心經(jīng)營數(shù)據(jù)就放在辦公桌上，他要的財(cái)務(wù)報(bào)表就在保險(xiǎn)柜里，他要的組織人員架構(gòu)圖就在書架上。

這一切，都是根據(jù)企業(yè)真實(shí)的情況翻版出來的假象，當(dāng)然，所有的數(shù)據(jù)都是假的。

這個偽造的“蜜場”和企業(yè)的真實(shí)環(huán)境究竟有多相似呢？

錦行科技首席安全官 la0wang（王俊卿）告訴雷鋒網(wǎng)宅客頻道：

一個蜜場其實(shí)并不用和企業(yè)真實(shí)的網(wǎng)絡(luò)架構(gòu)100%相似，而是要和黑客想象中的企業(yè)網(wǎng)絡(luò)架構(gòu)100%一樣。因?yàn)楹诳透緵]有見過企業(yè)真實(shí)的網(wǎng)絡(luò)，所以他只會把摸到的情況和想象中比對，越是靠近想象，他們就越不懷疑自己入侵了假的系統(tǒng)。

【蜜罐、蜜網(wǎng)、蜜場的邏輯結(jié)構(gòu)】

蜜場之內(nèi)的“盜夢空間”：幻云

自古兵不厭詐，蜜場的概念人們都可以理解。但是，一個好的“欺騙系統(tǒng)”，很重要的一步恰恰是第一步：把黑客引入這個“盜夢空間”。

由于企業(yè)內(nèi)部網(wǎng)絡(luò)需要正常運(yùn)營，必須對有權(quán)限的好人提供服務(wù)的同時(shí)，把壞人引向另一個時(shí)空的“欺騙系統(tǒng)”——幻云。

所以企業(yè)內(nèi)網(wǎng)需要掌握的一項(xiàng)重要能力，就是分辨好人和壞人。

對此，這些大牛黑客們設(shè)計(jì)出了一套精巧的驗(yàn)證系統(tǒng)。

由于我們做了將近二十年的安全測試，很多時(shí)候都是在對方基層員工根本不知情的情況下嘗試突破系統(tǒng)的防守。所以，我們對于攻擊者的理解是非常深刻的。我們能夠清楚地分辨出哪些行為是正常的，哪些行為是只有入侵黑客才會做的。

這些特征并不是什么很明顯的動作，而可能是一個非常小的端口檢索動作，或者一種不同尋常的查詢方法，就像一個老刑警可以通過一個小動作就鎖定小偷。

la0wang 如是說。

還是回到小偷和別墅的比喻。小偷進(jìn)入別墅之后，會摸到幾扇相同的門。作為竊賊沒辦法分辨哪個門后面才有有價(jià)值的資料，于是他的做法一定是先試著把幾扇門都撬一下。其中有一扇門不用很大的力氣就被撬開，小偷一定會選擇先進(jìn)入這個房間看一看。

沒錯，這扇最好撬開的門恰恰就是蜜場的入口。

一旦被定向到蜜場，小偷的世界就被偷天換日，即使他很快退出這個屋子，外面的一切都已經(jīng)被悄悄替換成了蜜場。

我不需要所有真實(shí)的門鎖都非常強(qiáng)，我只需要所有真實(shí)的門鎖都強(qiáng)于這個通向幻云的門鎖，就夠了。

老王說。

這扇虛假的門用專業(yè)術(shù)語稱為：誘捕節(jié)點(diǎn)。實(shí)際上誘捕節(jié)點(diǎn)可以部署在網(wǎng)絡(luò)環(huán)境中的很多部位，例如：辦公網(wǎng)絡(luò)、DMZ區(qū)（隔離區(qū)）、核心數(shù)據(jù)區(qū)等。只要入侵黑客碰到了任何一個節(jié)點(diǎn)，都會瞬間被定向到“盜夢空間”，永遠(yuǎn)無法返回。

【攻擊流重定向示意圖】

我們的目標(biāo)是：怒懟黑客

既然來了，就別走了。

這一定是欺騙系統(tǒng)最想對入侵黑客說的話。

由于提供了逼真的環(huán)境，黑客不僅不會對所處的環(huán)境產(chǎn)生懷疑，反而會對自己的技術(shù)沾沾自喜。而在這個時(shí)候，就是監(jiān)視黑客的好機(jī)會了。

【幻云系統(tǒng)截圖】

來拍個照片吧：黑客全景錄像

黑客得意洋洋地穿梭在幻云中，系統(tǒng)會記錄攻擊過程中的網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)數(shù)據(jù)、各種類型的行為數(shù)據(jù)。

這些數(shù)據(jù)詳盡到令人發(fā)指。胡鵬介紹說：

我們收集數(shù)據(jù)的比例是 1：50。這個比例是什么呢？比如我們捕獲到攻擊者的一條攻擊指令，我們會同時(shí)獲取近50個項(xiàng)目的相關(guān)信息，包括這條指令的附屬信息、關(guān)聯(lián)信息、環(huán)境信息等等，凡是和這條指令相關(guān)的數(shù)據(jù)，我們?nèi)勘４妗?/p>

為什么這么做？因?yàn)楣舻倪^程非常寶貴，尤其是內(nèi)網(wǎng)滲透的全過程，如果我們沒有保存那么多數(shù)據(jù)，如果后續(xù)的分析環(huán)節(jié)就可能受影響，如果我們保存了足夠多的數(shù)據(jù)，那么就為后續(xù)的分析打下了一個良好的數(shù)據(jù)基礎(chǔ)。所以，我們決定保存足夠詳盡的攻擊數(shù)據(jù)。

當(dāng)然，所有收集信息的過程，必須是完全地悄無聲息。因?yàn)楣粽咭坏┌l(fā)現(xiàn)了破綻，很可能馬上離開，或者選擇反過來做很多迷惑對手的行為。

la0wang 說：

我們使用了非常隱蔽的無痕監(jiān)控技術(shù)，就像一間屋子的地下有著震動感應(yīng)的傳感器，黑客在屋子里看不到任何東西，但是他的一舉一動都會通過震動波被記錄下來。攻擊者可以很開心地在我們的環(huán)境中攻擊，我們可以很開心地采集攻擊者的行為數(shù)據(jù)。何樂而不為呢？

來看看照片吧：通過“語境”判斷攻擊意圖

有了豐富詳實(shí)的數(shù)據(jù)基礎(chǔ)，就可以開始行為分析了。這其中設(shè)計(jì)一個有趣的技巧，就是攻擊者的“語境”。

簡單舉個例子：

這是微信上一段對話的截圖，從對話中可以看到是右邊的人想向左邊的權(quán)哥借5000塊錢，那么是不是這樣的呢？我們再看第二幅圖：

 看了第二幅我們才知道原來是左邊的權(quán)哥欠了人家的錢不還，而且還說話不算數(shù)，故意抵賴。其實(shí)這個借錢不還的故事還有很長很精彩，篇幅所限，我只截了其中一小段。用這個例子說明什么呢？

如果不是在一個連續(xù)的、完整的語境環(huán)境中，那么我們針對數(shù)據(jù)的分析結(jié)果很有可能是錯誤的結(jié)果。

所以，一個完整的攻擊語境包括：行為上下文、攻擊時(shí)間、所處業(yè)務(wù)場景、目標(biāo)對象等與攻擊有關(guān)的語境因素。

 胡鵬為我們舉了幾個簡單的例子：

業(yè)務(wù)場景：我們的欺騙環(huán)境是由不同的業(yè)務(wù)場景組成的，比如有辦公區(qū)、DMZ區(qū)、核心數(shù)據(jù)區(qū)等，那么不同場景下相同的動作就會有不同的含義，我們的分析都是在特定的業(yè)務(wù)場景中展開的。

重要環(huán)節(jié)：在攻擊過程中，攻擊者在不同的環(huán)節(jié)，會有不同的動作特點(diǎn)，比如剛進(jìn)入內(nèi)網(wǎng)時(shí)的探測、探測之后的滲透、得手之后的獲取數(shù)據(jù)、走的時(shí)候清除痕跡等，這些都是攻擊過程中的重要環(huán)節(jié)，針對重要環(huán)節(jié)的分析可以讓我們從紛繁復(fù)雜的數(shù)據(jù)中整理出一個有序的過程，整個分析的結(jié)果會更加清晰。

關(guān)鍵路徑：攻擊者在攻擊過程中會形成一定的攻擊路徑，也就是攻擊者是如何一步步的達(dá)成目標(biāo)的，經(jīng)過哪些關(guān)鍵的位置，這個過程中比如攻擊者是如何挑選不同的進(jìn)攻路徑的，比如如何從辦公區(qū)進(jìn)入核心數(shù)據(jù)區(qū)，攻擊者需要先找到運(yùn)維人員或者管理員的那臺機(jī)器進(jìn)入，那么這個運(yùn)維人員或者管理員就是攻擊路徑中的關(guān)鍵點(diǎn)，通過對關(guān)鍵路徑的分析，可以看出攻擊者的進(jìn)攻思路和攻擊技巧。

習(xí)慣特征：攻擊者在攻擊時(shí)不可避免的會呈現(xiàn)出個人的習(xí)慣特點(diǎn)，比如輸入的指令，有的攻擊者進(jìn)去之后會習(xí)慣經(jīng)常性查看是否有其他用戶在線，有的攻擊者習(xí)慣經(jīng)常性的查看進(jìn)程，有的習(xí)慣一進(jìn)去就翻文件，從這些特征入手，我們可以分析攻擊者的習(xí)慣特征，用來給攻擊者畫像。

來找到主角吧：黑客溯源

有了以上的動作，防御者就得到了寶貴的信息，這些信息有：

攻擊者的來源：他從哪里發(fā)起了攻擊。

攻擊者的思路：他究竟挑選了什么樣的路徑，一步一步得到他想要的信息。

攻擊者的身份：他使用了什么工具，有怎樣的攻擊特點(diǎn)。

攻擊者的證據(jù)：他所有攻擊行為的罪證。

有了這些信息，原則上來說就可以鎖定入侵黑客的身份和背景。從這一刻起，賽博世界的戰(zhàn)役勝負(fù)已分。剩下的，就是法律和正義在真實(shí)世界對黑客肉身的懲處。

小結(jié)·采訪手記

網(wǎng)絡(luò)世界是現(xiàn)實(shí)世界的翻版。幾乎所有人都承認(rèn)這個悲傷的結(jié)論：只要有人的地方，就有著陰謀和構(gòu)陷。

不幸的是，網(wǎng)絡(luò)世界比真實(shí)世界更浩淼，更繁復(fù)。正義的光芒難以照射這個空間的一切折痕溝回。更多的時(shí)候，這像一個黑暗的森林，我們需要用武器來武裝自己，對抗黑暗中侵襲而來的槍彈。

所謂大道至簡，縱然網(wǎng)絡(luò)空間對于中國來說是舶來品，但“欺騙防御”卻根植在中國的戰(zhàn)爭哲學(xué)之中。在這一點(diǎn)上，中國正義黑客的嘗試值得欽佩。

對付暴力的最好武器，不是暴力，而是欺騙。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。