大家好，欢迎大家再次访问“X将军”网络战模拟实验室，上一期我们探讨了“如何攻击美国无人机“，大家对此看法褒贬不一，的确，争论即是进步的桥梁。而今天我希望带领大家体验的，是一种基于“雾计算”（Fog Computing）的新型蜜罐诱捕技术。

前言——“雾计算”的概念

大家一定听说过“云计算”（Cloud Computing）的概念，云计算运用的目的主要是为了“资源共享和最大化”。那什么是“雾计算”呢？雾计算和云计算有什么相同和区别？雾计算的主要用途什么？雾计算有哪些显著特点？想必有些“大牛”们可以一一回答这些问题，但还有一些不曾接触过“雾计算”的朋友们是不是被弄得“云里雾里”？接下来我们就从理论和实验两个层面来为大伙揭开“雾计算”的神秘面纱。

概念：雾计算主要是针对内部威胁和数据泄露而提出的一种新的计算范型，其核心概念是用假信息做诱饵，“钓”出真窃密的“鼹鼠”，是网络积极防御和纵深防御思想的具体应用。该技术通过自动生成和分发高可信的诱捕信息，让窃取信息者无法区分真正的机密信息与诱捕信息，并能够检测和追踪诱捕信息的访问以及企图滥用行为，以求在泄密事件发生前化解内部威胁（援引互联网概念）。

案例：2011年3月，格鲁吉亚国家计算机应急响应中心检测到一种新型的网络攻击软件，该软件以窃取格鲁吉亚和美国政府机密文档与政府情报信息为目标，可将收集到的情报信息上传到命令与控制服务器。为了调查和追踪这个恶意软件和控制服务器，格鲁吉亚信息安全专家巧妙利用基于“雾计算”的信息诱骗技术（包含病毒的伪造涉密ZIP文档），成功追踪到来自于俄罗斯官方安全机构的黑客并拍下照片。

实验——“雾计算”实现的可能性

光是提出一些概念和理论大家恐怕还是难以理解什么事“雾计算”。接下来，我们就通过一次简单而具体的实验，来给大家展示一下“雾计算”的实际应用。本次实验的主要平台是基于“雾计算”的Honeydocs实验平台（www.honeydocs.com）。

假设实验方案：A公司经常遭受网络攻击，黑客从中窃取商业机密。为了追踪黑客，A公司技术人员利用Honeydocs“雾计算”平台，制作了标题为“Credent Cards”的蜜罐ZIP压缩文档，并将其放在了公司服务器和重要岗位的计算机上。果然黑客下载了这份文件，并打开。蜜罐文档通过“雾计算”技术成功返回了黑客的IP地址，定位了黑客所在地。

首先，A公司技术人员创立了一个账号l***[email protected]

第二步，A公司技术人员为“蜜罐文档”添加了名为“Honeypot”的标记

第三部，通过平台预设的四种“蜜罐文档”，技术员选择了“credit cards”的ZIP文档。

第四部，技术员将做好的zip文档放在了重要计算机位置（或是明显位置），等待黑客下载。

第五步，黑客下载并点击了蜜罐文件，其IP地址、城市、国家、经纬度和访问时间被成功截获。所有信息都返回在了技术员注册的Honeydocs的控制面板之中。

总结——“雾计算”的特点与运用

这就是一次典型的基于“雾计算”的蜜罐诱骗过程。在这个过程中，有几地方我们需要特别提出，这也反映了雾计算的基本特征：

1.       信标技术

在第二步中，我们为蜜罐文档设置了唯一的标记“honeypot”，这一标记的作用在于，当黑客点击了蜜罐文档之后，其返回的信息将会收录在“honeypot”这一标记之中。我们也可以建立多个信标，用以区分不同的文档、不同的存储位置、以及其他在返回“诱捕信息“时需要加以区分的部位。

2.       高可信性

利用基于“雾计算“的蜜罐技术，我们可以创造任何”蜜罐文件“，其格式、内容、类别等都可以和真实文件一模一样，因此黑客难以区分文件的真假性。如第三部我们创建的”credit cards.zip“,实测这份文件在下载和点击的过程中，杀毒软件和防火墙都不会出现提示，而且在Virustotal上检测，没有一款杀毒软件能够发现问题。

3.       可追踪性：一旦诱捕信息被访问，则能够对访问该信息的目标行为进行追踪，并获取访问者的相关信息。例如本次实验，获取了黑客的IP、城市甚至是经纬度等详细信息。

这种基于“雾计算“的蜜罐诱捕技术应用广泛，特别是类似积极网络防御和反窃密追踪等行动。”雾计算“为企业、公司、政府直至个人的计算机网络安全防护提供了一种新型的解决方案，这种技术目前虽然仍处于研究和实验阶段，但一些雏形俨然已经开始发挥功效，正如我们案例中反映的那样。至少，有兴趣的朋友们可以尝试一下，利用这种”雾计算“诱骗技术，检查一下私人邮箱有没有被非法访问，电脑里的文件有没有被未授权打开，以及是不是有人在你不注意的时候偷偷窃取你计算机中的隐私。功能很强大，具体应用就需要靠大家发挥想象力了。

今天的“X将军”网络战模拟实验室实验就到此结束，我们下期再会！