SSH蜜罐由于这个原因会错过大多数登录后攻击!
#网安头条 ·2026-07-06 16:31:02
在网络安全防御体系中,蜜罐一直被我们视为诱捕攻击者、收集威胁情报的有效工具。然而,近期一项来自捷克技术大学的最新研究,却像一记突如其来的警钟,猛然敲醒了我们对SSH蜜罐效能的固有认知。
我们精心部署的SSH蜜罐,可能会因为一个关键的误判,错过了绝大多数登录后的攻击行为。这不仅是技术细节上的偏差,更是对现有防御策略有效性的深刻拷问,迫使我们重新审视网络攻防的真实面貌。

这项研究,彻底颠覆了我们长期以来关于攻击者行为的假设。我们通常会想,攻击者登录SSH系统后,会像普通用户那样,通过交互式Shell会话执行命令、探索系统。因此,许多现代蜜罐,包括那些融入了大型语言模型(LLM)的先进系统,都致力于模拟逼真的Shell环境,并以攻击者停留时间或执行命令数量来衡量其成功。然而,研究数据却残酷地指出,绝大多数攻击者根本不屑于这种“人机交互”的传统模式。
研究人员在云基础设施上部署了11个高交互式SSH蜜罐,在短短15天内捕获了177622个认证会话。结果是其中99.23%的会话是非交互式的,而传统的交互式Shell访问仅占0.10%,文件传输尝试也只占0.67%。
这些数据随后通过CZ.NIC Cowrie蜜罐网络的大规模数据集独立验证,模式完全一致。这清晰地表明,攻击者正越来越多地依赖自动化、非交互式命令,这些命令执行迅速,通常在不到一秒钟内完成并断开连接,让那些专注于交互式Shell的蜜罐形同虚设,难以捕捉真实威胁。

攻击者认证成功后,往往直接通过SSH的exec模式运行单个命令,而非进入Shell环境。这些命令通常是自动化脚本的一部分,旨在快速进行侦察或验证。常见的命令包括系统配置查询,例如uname、whoami、uptime和nproc,攻击者利用它们迅速评估目标环境。研究中识别出超过9000个独特的命令字符串,但其中一小部分就占据了大部分活动,这暗示着背后有协调一致的自动化攻击行动,而非零散的个人行为。
更值得我们警惕的是,攻击者还研发了一套“蜜罐识别术”。他们会发送专门的验证探测命令,以判断目标是真实系统还是伪装的蜜罐。例如,通过执行base64解码或简单的算术运算如echo $((7*6)),来检查系统是否返回准确的结果。这些测试对基于LLM的蜜罐尤其有效,因为LLM可能会生成看似合理但实际错误的输出。研究人员发现了超过2000次此类验证尝试,有些探测甚至会检查已知的蜜罐特征,比如特定的进程或可写系统文件,尽管这些情况相对较少,但其存在本身就足以引起我们的深思。
这项发现对网络安全研究和防御策略产生了深远影响,如果蜜罐只关注交互式Shell会话,那么它捕获的攻击行为可能只是冰山一角,这会导致我们对威胁态势的判断出现偏差,进而制定出无效的防御策略。

同样,以交互时长或深度来评估蜜罐性能的传统指标,也可能不再反映真实的威胁环境。捷克技术大学的研究人员强调,SSH蜜罐应该支持非交互式命令执行,并提供准确的命令响应。衡量蜜罐成功与否的标准,应该是它在自动化探测下表现得像一个真实主机,而不是它模拟人类交互的逼真程度,这才是衡量其有效性的关键。
攻击行为向自动化和大规模扫描的转变,也进一步凸显了更新欺骗防御策略的必要性。攻击者不再满足于手动探索被攻陷的系统,而是越来越多地依赖脚本,对成千上万的目标进行快速检查。如果我们不能及时适应这种非交互式攻击技术,许多蜜罐将面临过时失效的风险,只能捕捉到狭隘且过时的威胁视图。
因此,我们高度重视这一趋势,积极投入资源,研发和部署能够有效应对自动化、非交互式攻击的新一代蜜罐技术,确保我们的防御体系能够真正洞察威胁全貌,而非仅仅停留在表象,这对于构建坚固的网络防线至关重要。