近日，巴勒斯坦伊斯兰抵抗运动（哈马斯）和以色列在加沙地带的停火协议正式生效。在巴以冲突发生后不久，以色列在互联网的蜜罐数量急剧增加，数量可能达到上千个，网络安全公司Stairwell的常驻黑客塞拉斯·卡特勒（Silas Cutler）表示，在战争冲突中部署蜜罐“在战术上是有意义的“。（Thousands of new honeypots deployed across Israel to catch hackers | TechCrunch）因此，蜜罐的重要性在网络安全甚至国家安全中不言而喻。

而在国内经常组织的攻防演练中，攻击者很怕踩到蜜罐，因为不止浪费大量时间在蜜罐上，自己辛苦收集或者挖掘的0day被蜜罐收集，还可能被溯源，如攻击者访问页面，蜜罐的JS执行，向常用网站发送请求，从而利用JSONP跨域漏洞，收集攻击者的个人信息，进一步溯源。因此蜜罐的研究有重大意义，传统的WEB蜜罐较多，工控蜜罐相对较少，而工控行业一旦遭受攻击损失巨大，所以我们要研究工控蜜罐，提升蜜罐的仿真能力，并运用到工业环境中，提高收集情报能力和安全意识、捕获攻击者、保护真实工控系统。

蜜罐是一个被严格监控的计算机资源，包含有看上去很有攻击价值的虚假诱饵数据和一些已知漏洞，以此吸引入侵者攻击。在蜜罐被入侵的过程中，会实时记录和审计攻击者的攻击流量、行为和数据。用于分析了解攻击者所使用的工具和方法等，便于安全人员后期增强防范措施，攻击溯源、取证等。

蜜罐分类有多种方式，如依据用途分为生产蜜罐、研究蜜罐，依据交互分为高、中、低交互蜜罐，依据实现分为真实服务蜜罐和虚拟服务蜜罐。几种开源蜜罐的分析见下表：

表1-开源蜜罐分析

蜜罐在实际应用中，仿真性是非常重要的，如果攻击者一眼识别到是蜜罐，则直接放弃攻击，蜜罐的作用将不复存在。因此我们需要解决两个问题，一是如何识别这是个蜜罐，二是如何使其不能轻易被空间探测网站或者攻击者识别为蜜罐，之后再考虑将其作为产品，部署于实际环境中。

Conpot蜜罐的搭建有多种方式，建议直接使用Docker部署，蜜罐启动只启动一个协议如S7Comm或者Modbus，这个可以通过端口映射来达到目的，这里我们为了方便研究，将S7Comm和Modbus一起部署，部署成功后的结果如下：

图1-Docker安装的Conpot蜜罐启动

初始搭建成功后Conpot的蜜罐有多处特征，通过这些特征可以判断是蜜罐。目前很多空间探测网站可以识别Conpot蜜罐，如根据《一种工控蜜罐识别与反识别的技术研究与应用实践》，shodan直接会将此蜜罐标记为honeypot。

图2-shadon标记蜜罐

Modbus特征

根据分析，协议显示Vendor Name: Siemens;Network Module: SIMATIC;Firmware: S7-200这种特征可能为蜜罐。

图3-空间探测网站上的Conpot蜜罐

S7Comm特征

《一种工控蜜罐识别与反识别的技术研究与应用实践》一文提到Conpot蜜罐的S7Comm的特征如下:

特征一为：S7Comm的copyright字段为Original Siemens Equipment，其Serial number of module为88111222，其Module type name为IM151-8 PN/DP CPU。

特征二为：返回的获取设备信息应用数据最后6个字节始终为：“\x00\x00\x00\x00 \x00\x00“。

对于这些特征，我们的思路是首先探测实体PLC的各项参数，然后从源码中找到这些特征字段，尝试进行修改，尽量将这些改为实际PLC的参数，进一步找到各参数修改的地方，进行定制化蜜罐。

Modbus特征修改

根据代码分析，Modbus的device_info、vendor_name和product_code为从xml里面根据xpath路径提取几个特征。

图4-Modbus字段代码片段

根据源码分析，Conpot默认配置为使用了Modbus协议，但会对外显示Siemens和S7-200。这也解释了我们用某空间探测网址搜索Modbus协议，会出现大量的Siemens，因为都使用了Conpot蜜罐。修改源码配置文件即可消除此特征，修改的目标为让扫描探测工具认为它是施耐德TM221。

修改后plcscan重新扫描结果如下：

图5-修改后plcscan的扫描结果

重新Nmap扫描，结果如下：

图6-修改后Nmap的扫描结果

S7Comm特征修改

根据源码及测试分析，plcscan与template参数的对应关系如下，另外三个参数在源码中为empty，为补充这些参数，在源码中可以新增三个字段。

表2-plcsan参数与代码字段对应表

这些特征可以通过修改配置文件来达到目的，修改这些的目的是为了和真实的S7Comm协议扫描一致，另外特征二需要修改s7.py的源码才能消除。

最终，经过特征修改，plcscan的扫描结果为：

图7-修改后S7Comm plcscan扫描结果

Nmap的插件扫描结果修改为：

图8-修改后S7Comm Nmap扫描结果

从扫描结果分析，基本的蜜罐特征已实现了修改，再次探测显示为正常的PLC（蜜罐）信息。

综上，成熟的蜜罐能够消除蜜罐特征且能够进行正常的功能交互，也有日志记录用于分析攻击特征，蜜罐除了用于攻防渗透，也有研究意义，相对实体PLC蜜罐，可模块化部署的虚拟化蜜罐成本更低，易于将其部署于靶场等环境中，既可以学习研究，也能组合到各种工控场景。珞安科技的工业互联网安全靶场平台，包含了各种工控场景，也部署了定制化蜜罐。

图9-工业互联网安全靶场平台

风电场景蜜罐如下图所示：

图10-蜜罐组件添加进风电场景

用kali攻击机扫描蜜罐，可看到扫描到的为修改后的仿真蜜罐信息：

图11-plcscan扫描靶场的蜜罐信息

珞安科技工业互联网安全靶场平台以虚拟化技术为基础，结合软件定义网络、 虚实互联、网络安全检测与分析等技术，具备便捷的网络拓扑构建、 细粒度的用户行为监控、全方位攻防数据采集、宏观微观兼具的态势展示、开放的第三方接入支撑、逼真的场景仿真复现、丰富强大的靶标资源、灵活快捷的虚拟机与靶场数据交互、多维度可量化的能力评估等功能。依托靶场平台可满足用户在工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人员技能培训、安全攻防演练等方面的需求。