上兵伐謀，其次伐交，其次伐兵，其下攻城。——孫子兵法《謀攻篇》

引子

某些職業(yè)天生受人敬畏，因?yàn)樗腿说哪硞€(gè)優(yōu)秀特質(zhì)相連。舞蹈，讓人們想到優(yōu)美的形體;長(zhǎng)跑，讓人想到堅(jiān)毅的品質(zhì)。而黑客，讓人聯(lián)想到高超的技術(shù)。

現(xiàn)實(shí)世界的每一個(gè)個(gè)人和組織，都在網(wǎng)絡(luò)世界的版圖中對(duì)應(yīng)著屬于自己的一座或大或小的城池。而在險(xiǎn)惡的互聯(lián)網(wǎng)叢林中，每座城市都隨時(shí)面臨來(lái)自黑暗中的突施冷箭。

凡是武林中人，總有正邪之分。

邪惡的黑客，常常打著技術(shù)無(wú)罪的大旗，帶領(lǐng)盜匪企圖殺入城中燒殺搶掠;而正義的黑客，手握武器高立城頭，用正義的子彈射穿入侵者的喉嚨。

誠(chéng)然，很多人想到黑客，就會(huì)聯(lián)想到高超的技術(shù)。但是，當(dāng)你真正了解到賽博世界殊死搏斗的真相，你就會(huì)理解，對(duì)于黑客的最高褒賞，并不是攻城略地的高超技術(shù)，而是不戰(zhàn)而屈人之兵的閃光智慧。

諸葛亮不費(fèi)一兵一卒，靠一曲琴音喝退司馬懿十萬(wàn)大軍，守衛(wèi)三分天下;

艾森豪威爾運(yùn)籌帷幄，讓德軍主力撲空加萊，才有人類(lèi)的榮耀之日——諾曼底登陸;

《盜夢(mèng)空間》中的造夢(mèng)師們正是通過(guò)潛意識(shí)的進(jìn)攻，讓能源巨頭的繼承者費(fèi)舍自愿解散公司。

《孫子兵法》有云，攻城為下，攻心為上。

中國(guó)黑客的“欺騙系統(tǒng)”

黑客的世界之所以吸引人，恰恰因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)世界的一切幻想，都在這里真實(shí)地發(fā)生著。入侵企業(yè)，獲得大量機(jī)密資料，可以在商場(chǎng)上給對(duì)手致命一擊。

這是一個(gè)真實(shí)的故事，某知名企業(yè)董事會(huì)剛剛散會(huì)，競(jìng)爭(zhēng)對(duì)手的桌子上就擺好了他們的會(huì)議紀(jì)要;董事長(zhǎng)剛剛寫(xiě)好的文件，自己公司還沒(méi)有來(lái)得及印發(fā)，對(duì)手已經(jīng)全公司傳閱。自己企業(yè)最新設(shè)計(jì)的手機(jī)原型機(jī)，還沒(méi)有來(lái)得及生產(chǎn)，對(duì)手已經(jīng)根據(jù)圖紙進(jìn)行了仿造并且占領(lǐng)了市場(chǎng)。

我們看到的商業(yè)競(jìng)爭(zhēng)，背后幾乎都有著不可言說(shuō)的賽博世界的血戰(zhàn)，而這血戰(zhàn)背后可能決定著一個(gè)人一生的興衰榮辱。為了這個(gè)目標(biāo)，邪惡的黑客們可以使出最?lèi)憾镜恼袛?shù)來(lái)滲透、入侵。

但是，這個(gè)世界之所以沒(méi)有讓人絕望透頂，恰恰是因?yàn)橛姓x的黑客挺身而出，自愿構(gòu)建一個(gè)強(qiáng)大的天網(wǎng)，和邪惡作斗爭(zhēng)。這些黑客，就包括潛行十幾年，用自己的技術(shù)深刻改變了中國(guó)在世界政治中地位的中國(guó)第一代黑客 CP 和 la0wang，還有曾經(jīng)在騰訊一馬當(dāng)先抵御網(wǎng)絡(luò)黑產(chǎn)的安全大牛 Oscar 和可以用一串代碼平趟所有網(wǎng)站的烏云一哥 Jannock。

2014年，這些代表了全中國(guó)最強(qiáng)黑客火力的黑客們走到了一起，成立了一家名為“錦行科技”的“團(tuán)伙”。這個(gè)團(tuán)伙的首要目標(biāo)，就是要消滅黑客雇傭兵對(duì)于企業(yè)骯臟的攻擊和瘋狂的信息竊取。

而他們的獨(dú)門(mén)武器，就是“網(wǎng)絡(luò)空間欺騙系統(tǒng)”——幻云。

從哲學(xué)上來(lái)看，這世間一切的成就，都來(lái)自于對(duì)信息的確定。例如，

如果你可以看透對(duì)手下一步要走的棋子，那么你就會(huì)勝券在握;

如果你可以偵聽(tīng)到女神的思維信息，那么你表白成功的概率就會(huì)暴增;

如果你確定知道明天有哪支股票會(huì)漲，那么你一定可以身價(jià)翻倍。

但是，如果你以為是確定的信息，在事實(shí)上都是假的呢?讓對(duì)手相信他掌握了你的確定信息，而這恰恰是你制造出來(lái)的幻覺(jué)，這就已經(jīng)在防御上處于絕對(duì)的上風(fēng)。簡(jiǎn)單來(lái)說(shuō)，幻云就試圖制造這樣一個(gè)欺騙系統(tǒng)，讓入侵的黑客以為自己進(jìn)入了企業(yè)內(nèi)部，而實(shí)際上他只是進(jìn)入了一個(gè)精心構(gòu)建的虛擬世界，一個(gè)如來(lái)佛祖掌握在手心的盜夢(mèng)空間，一個(gè)他每走一步就多暴露自己一點(diǎn)的玻璃屋中。

蜜罐、蜜網(wǎng)和蜜場(chǎng)

剛剛扯的那么多欺騙哲學(xué)，究竟要怎么實(shí)現(xiàn)呢?

雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))宅客頻道有機(jī)會(huì)和錦行科技的幾位大牛對(duì)談，他們提出了三個(gè)有趣的概念：蜜罐、蜜網(wǎng)和蜜場(chǎng)。

蜜罐

蜜罐是一個(gè)非常形象的詞匯：蜜 + 罐，英文單詞也是 honey + pot。

蜜代表了甜頭好處，也就是攻擊者有可能感興趣的特征，而罐代表了一個(gè)環(huán)境，通過(guò)這個(gè)環(huán)境，可以捕捉入侵者的行為。

形象地說(shuō)，這就像生長(zhǎng)在美洲的捕蠅草。利用甜美的氣息吸引蒼蠅前來(lái)覓食，然而一旦蒼蠅進(jìn)入陷阱，它的命運(yùn)就會(huì)急轉(zhuǎn)直下。

雖說(shuō)進(jìn)入蜜罐的黑客并不會(huì)葬身于此，但是卻留下了自己的攻擊工具和攻擊痕跡。研究了黑客使用的工具，防御者就可以輕松研發(fā)相對(duì)應(yīng)的對(duì)抗工具，就像人的肌體，獲得了對(duì)新病毒的免疫能力。

錦行科技產(chǎn)品總監(jiān)胡鵬為雷鋒網(wǎng)宅客頻道進(jìn)行了簡(jiǎn)單的科普，

蜜罐一般分為低交互蜜罐和高交互蜜罐，低交互蜜罐一般用于報(bào)警或者獲取一些攻擊代碼，高交互蜜罐用于深入觀察攻擊者行為并分析。

但是總體來(lái)說(shuō)，蜜罐的問(wèn)題在于，環(huán)境過(guò)于單一，特征很明顯，攻擊者容易識(shí)別。

想象一下，如果蒼蠅都記住了捕蠅草的形狀，相信捕蠅草今后只能捕到各種磚頭石塊了。

蜜網(wǎng)

簡(jiǎn)單來(lái)說(shuō)，蜜網(wǎng)就是有組織的蜜罐，用各式蜜罐來(lái)構(gòu)建一個(gè)欺騙網(wǎng)絡(luò)。對(duì)于黑客來(lái)說(shuō)，在賽博空間內(nèi)他們無(wú)法依靠視覺(jué)。他們就像一個(gè)小偷潛入一個(gè)漆黑的別墅，其中所有的陳設(shè)都需要他們靠手來(lái)觸摸，然后自己標(biāo)記，在心里繪制出一副他們“想象中”的內(nèi)部地圖。

如果潛入的黑客是一個(gè)經(jīng)驗(yàn)老到的慣犯，僅僅摸到一個(gè)假門(mén)，仔細(xì)摸索發(fā)現(xiàn)門(mén)后空無(wú)一物，那么他就可以判定這道門(mén)就是一個(gè)蜜罐。

然而如果用不同的蜜罐組成蜜網(wǎng)，小偷就會(huì)相信門(mén)后面有一個(gè)房間，里面陳設(shè)著衣柜沙發(fā)書(shū)桌等等。在小偷摸索的過(guò)程中，蜜網(wǎng)設(shè)置者就有更充足的時(shí)間來(lái)觀察來(lái)者，等待他使用更多的進(jìn)攻工具，從而制造出更全面的防護(hù)武器。

但是，正如剛才的比喻，蜜網(wǎng)只是一個(gè)假設(shè)在真實(shí)別墅里的虛擬房間，小偷在摸進(jìn)蜜網(wǎng)之前，勢(shì)必有可能經(jīng)過(guò)其他真實(shí)的房間，由于蜜網(wǎng)設(shè)置在企業(yè)真實(shí)的系統(tǒng)之內(nèi)，對(duì)于企業(yè)來(lái)說(shuō)，仍然存在被黑客攻擊的可能。

于是蜜場(chǎng)就出現(xiàn)了。

蜜場(chǎng)

所謂蜜場(chǎng)，就是利用蜜罐、蜜網(wǎng)完整模擬出一個(gè)公司的所有架構(gòu)。相當(dāng)于再造一個(gè)企業(yè)的別墅，然后放一個(gè)傳送門(mén)(重定向器)，一旦探測(cè)到可能的攻擊，就直接把黑客的流量轉(zhuǎn)移到假的別墅(蜜場(chǎng))中。

只要黑客進(jìn)入蜜場(chǎng)，他想要的一切都可以被“找到”，他要的核心經(jīng)營(yíng)數(shù)據(jù)就放在辦公桌上，他要的財(cái)務(wù)報(bào)表就在保險(xiǎn)柜里，他要的組織人員架構(gòu)圖就在書(shū)架上。

這一切，都是根據(jù)企業(yè)真實(shí)的情況翻版出來(lái)的假象，當(dāng)然，所有的數(shù)據(jù)都是假的。

這個(gè)偽造的“蜜場(chǎng)”和企業(yè)的真實(shí)環(huán)境究竟有多相似呢?

錦行科技首席安全官 la0wang(王俊卿)告訴雷鋒網(wǎng)宅客頻道：

一個(gè)蜜場(chǎng)其實(shí)并不用和企業(yè)真實(shí)的網(wǎng)絡(luò)架構(gòu)100%相似，而是要和黑客想象中的企業(yè)網(wǎng)絡(luò)架構(gòu)100%一樣。因?yàn)楹诳透緵](méi)有見(jiàn)過(guò)企業(yè)真實(shí)的網(wǎng)絡(luò)，所以他只會(huì)把摸到的情況和想象中比對(duì)，越是靠近想象，他們就越不懷疑自己入侵了假的系統(tǒng)。

【蜜罐、蜜網(wǎng)、蜜場(chǎng)的邏輯結(jié)構(gòu)】

蜜場(chǎng)之內(nèi)的“盜夢(mèng)空間”：幻云

自古兵不厭詐，蜜場(chǎng)的概念人們都可以理解。但是，一個(gè)好的“欺騙系統(tǒng)”，很重要的一步恰恰是第一步：把黑客引入這個(gè)“盜夢(mèng)空間”。

由于企業(yè)內(nèi)部網(wǎng)絡(luò)需要正常運(yùn)營(yíng)，必須對(duì)有權(quán)限的好人提供服務(wù)的同時(shí)，把壞人引向另一個(gè)時(shí)空的“欺騙系統(tǒng)”——幻云。

所以企業(yè)內(nèi)網(wǎng)需要掌握的一項(xiàng)重要能力，就是分辨好人和壞人。

對(duì)此，這些大牛黑客們?cè)O(shè)計(jì)出了一套精巧的驗(yàn)證系統(tǒng)。

由于我們做了將近二十年的安全測(cè)試，很多時(shí)候都是在對(duì)方基層員工根本不知情的情況下嘗試突破系統(tǒng)的防守。所以，我們對(duì)于攻擊者的理解是非常深刻的。我們能夠清楚地分辨出哪些行為是正常的，哪些行為是只有入侵黑客才會(huì)做的。

這些特征并不是什么很明顯的動(dòng)作，而可能是一個(gè)非常小的端口檢索動(dòng)作，或者一種不同尋常的查詢方法，就像一個(gè)老刑警可以通過(guò)一個(gè)小動(dòng)作就鎖定小偷。

la0wang 如是說(shuō)。

還是回到小偷和別墅的比喻。小偷進(jìn)入別墅之后，會(huì)摸到幾扇相同的門(mén)。作為竊賊沒(méi)辦法分辨哪個(gè)門(mén)后面才有有價(jià)值的資料，于是他的做法一定是先試著把幾扇門(mén)都撬一下。其中有一扇門(mén)不用很大的力氣就被撬開(kāi)，小偷一定會(huì)選擇先進(jìn)入這個(gè)房間看一看。

沒(méi)錯(cuò)，這扇最好撬開(kāi)的門(mén)恰恰就是蜜場(chǎng)的入口。

一旦被定向到蜜場(chǎng)，小偷的世界就被偷天換日，即使他很快退出這個(gè)屋子，外面的一切都已經(jīng)被悄悄替換成了蜜場(chǎng)。

我不需要所有真實(shí)的門(mén)鎖都非常強(qiáng)，我只需要所有真實(shí)的門(mén)鎖都強(qiáng)于這個(gè)通向幻云的門(mén)鎖，就夠了。

老王說(shuō)。

這扇虛假的門(mén)用專(zhuān)業(yè)術(shù)語(yǔ)稱(chēng)為：誘捕節(jié)點(diǎn)。實(shí)際上誘捕節(jié)點(diǎn)可以部署在網(wǎng)絡(luò)環(huán)境中的很多部位，例如：辦公網(wǎng)絡(luò)、DMZ區(qū)(隔離區(qū))、核心數(shù)據(jù)區(qū)等。只要入侵黑客碰到了任何一個(gè)節(jié)點(diǎn)，都會(huì)瞬間被定向到“盜夢(mèng)空間”，永遠(yuǎn)無(wú)法返回。

【攻擊流重定向示意圖】

我們的目標(biāo)是：怒懟黑客

既然來(lái)了，就別走了。

這一定是欺騙系統(tǒng)最想對(duì)入侵黑客說(shuō)的話。

由于提供了逼真的環(huán)境，黑客不僅不會(huì)對(duì)所處的環(huán)境產(chǎn)生懷疑，反而會(huì)對(duì)自己的技術(shù)沾沾自喜。而在這個(gè)時(shí)候，就是監(jiān)視黑客的好機(jī)會(huì)了。

【幻云系統(tǒng)截圖】

來(lái)拍個(gè)照片吧：黑客全景錄像

黑客得意洋洋地穿梭在幻云中，系統(tǒng)會(huì)記錄攻擊過(guò)程中的網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)數(shù)據(jù)、各種類(lèi)型的行為數(shù)據(jù)。

這些數(shù)據(jù)詳盡到令人發(fā)指。胡鵬介紹說(shuō)：

我們收集數(shù)據(jù)的比例是 1：50。這個(gè)比例是什么呢?比如我們捕獲到攻擊者的一條攻擊指令，我們會(huì)同時(shí)獲取近50個(gè)項(xiàng)目的相關(guān)信息，包括這條指令的附屬信息、關(guān)聯(lián)信息、環(huán)境信息等等，凡是和這條指令相關(guān)的數(shù)據(jù)，我們?nèi)勘４妗?/p>

為什么這么做?因?yàn)楣舻倪^(guò)程非常寶貴，尤其是內(nèi)網(wǎng)滲透的全過(guò)程，如果我們沒(méi)有保存那么多數(shù)據(jù)，如果后續(xù)的分析環(huán)節(jié)就可能受影響，如果我們保存了足夠多的數(shù)據(jù)，那么就為后續(xù)的分析打下了一個(gè)良好的數(shù)據(jù)基礎(chǔ)。所以，我們決定保存足夠詳盡的攻擊數(shù)據(jù)。

當(dāng)然，所有收集信息的過(guò)程，必須是完全地悄無(wú)聲息。因?yàn)楣粽咭坏┌l(fā)現(xiàn)了破綻，很可能馬上離開(kāi)，或者選擇反過(guò)來(lái)做很多迷惑對(duì)手的行為。

la0wang 說(shuō)：

我們使用了非常隱蔽的無(wú)痕監(jiān)控技術(shù)，就像一間屋子的地下有著震動(dòng)感應(yīng)的傳感器，黑客在屋子里看不到任何東西，但是他的一舉一動(dòng)都會(huì)通過(guò)震動(dòng)波被記錄下來(lái)。攻擊者可以很開(kāi)心地在我們的環(huán)境中攻擊，我們可以很開(kāi)心地采集攻擊者的行為數(shù)據(jù)。何樂(lè)而不為呢?

來(lái)看看照片吧：通過(guò)“語(yǔ)境”判斷攻擊意圖

有了豐富詳實(shí)的數(shù)據(jù)基礎(chǔ)，就可以開(kāi)始行為分析了。這其中設(shè)計(jì)一個(gè)有趣的技巧，就是攻擊者的“語(yǔ)境”。

簡(jiǎn)單舉個(gè)例子：

這是微信上一段對(duì)話的截圖，從對(duì)話中可以看到是右邊的人想向左邊的權(quán)哥借5000塊錢(qián)，那么是不是這樣的呢?我們?cè)倏吹诙鶊D：

看了第二幅我們才知道原來(lái)是左邊的權(quán)哥欠了人家的錢(qián)不還，而且還說(shuō)話不算數(shù)，故意抵賴。其實(shí)這個(gè)借錢(qián)不還的故事還有很長(zhǎng)很精彩，篇幅所限，我只截了其中一小段。用這個(gè)例子說(shuō)明什么呢?

如果不是在一個(gè)連續(xù)的、完整的語(yǔ)境環(huán)境中，那么我們針對(duì)數(shù)據(jù)的分析結(jié)果很有可能是錯(cuò)誤的結(jié)果。

所以，一個(gè)完整的攻擊語(yǔ)境包括：行為上下文、攻擊時(shí)間、所處業(yè)務(wù)場(chǎng)景、目標(biāo)對(duì)象等與攻擊有關(guān)的語(yǔ)境因素。

胡鵬為我們舉了幾個(gè)簡(jiǎn)單的例子：

業(yè)務(wù)場(chǎng)景：我們的欺騙環(huán)境是由不同的業(yè)務(wù)場(chǎng)景組成的，比如有辦公區(qū)、DMZ區(qū)、核心數(shù)據(jù)區(qū)等，那么不同場(chǎng)景下相同的動(dòng)作就會(huì)有不同的含義，我們的分析都是在特定的業(yè)務(wù)場(chǎng)景中展開(kāi)的。

重要環(huán)節(jié)：在攻擊過(guò)程中，攻擊者在不同的環(huán)節(jié)，會(huì)有不同的動(dòng)作特點(diǎn)，比如剛進(jìn)入內(nèi)網(wǎng)時(shí)的探測(cè)、探測(cè)之后的滲透、得手之后的獲取數(shù)據(jù)、走的時(shí)候清除痕跡等，這些都是攻擊過(guò)程中的重要環(huán)節(jié)，針對(duì)重要環(huán)節(jié)的分析可以讓我們從紛繁復(fù)雜的數(shù)據(jù)中整理出一個(gè)有序的過(guò)程，整個(gè)分析的結(jié)果會(huì)更加清晰。

關(guān)鍵路徑：攻擊者在攻擊過(guò)程中會(huì)形成一定的攻擊路徑，也就是攻擊者是如何一步步的達(dá)成目標(biāo)的，經(jīng)過(guò)哪些關(guān)鍵的位置，這個(gè)過(guò)程中比如攻擊者是如何挑選不同的進(jìn)攻路徑的，比如如何從辦公區(qū)進(jìn)入核心數(shù)據(jù)區(qū)，攻擊者需要先找到運(yùn)維人員或者管理員的那臺(tái)機(jī)器進(jìn)入，那么這個(gè)運(yùn)維人員或者管理員就是攻擊路徑中的關(guān)鍵點(diǎn)，通過(guò)對(duì)關(guān)鍵路徑的分析，可以看出攻擊者的進(jìn)攻思路和攻擊技巧。

習(xí)慣特征：攻擊者在攻擊時(shí)不可避免的會(huì)呈現(xiàn)出個(gè)人的習(xí)慣特點(diǎn)，比如輸入的指令，有的攻擊者進(jìn)去之后會(huì)習(xí)慣經(jīng)常性查看是否有其他用戶在線，有的攻擊者習(xí)慣經(jīng)常性的查看進(jìn)程，有的習(xí)慣一進(jìn)去就翻文件，從這些特征入手，我們可以分析攻擊者的習(xí)慣特征，用來(lái)給攻擊者畫(huà)像。

來(lái)找到主角吧：黑客溯源

有了以上的動(dòng)作，防御者就得到了寶貴的信息，這些信息有：

攻擊者的來(lái)源：他從哪里發(fā)起了攻擊。

攻擊者的思路：他究竟挑選了什么樣的路徑，一步一步得到他想要的信息。

攻擊者的身份：他使用了什么工具，有怎樣的攻擊特點(diǎn)。

攻擊者的證據(jù)：他所有攻擊行為的罪證。

有了這些信息，原則上來(lái)說(shuō)就可以鎖定入侵黑客的身份和背景。從這一刻起，賽博世界的戰(zhàn)役勝負(fù)已分。剩下的，就是法律和正義在真實(shí)世界對(duì)黑客肉身的懲處。

小結(jié)·采訪手記

網(wǎng)絡(luò)世界是現(xiàn)實(shí)世界的翻版。幾乎所有人都承認(rèn)這個(gè)悲傷的結(jié)論：只要有人的地方，就有著陰謀和構(gòu)陷。

不幸的是，網(wǎng)絡(luò)世界比真實(shí)世界更浩淼，更繁復(fù)。正義的光芒難以照射這個(gè)空間的一切折痕溝回。更多的時(shí)候，這像一個(gè)黑暗的森林，我們需要用武器來(lái)武裝自己，對(duì)抗黑暗中侵襲而來(lái)的槍彈。

所謂大道至簡(jiǎn)，縱然網(wǎng)絡(luò)空間對(duì)于中國(guó)來(lái)說(shuō)是舶來(lái)品，但“欺騙防御”卻根植在中國(guó)的戰(zhàn)爭(zhēng)哲學(xué)之中。在這一點(diǎn)上，中國(guó)正義黑客的嘗試值得欽佩。

對(duì)付暴力的最好武器，不是暴力，而是欺騙。