你想象过利用接入服务提供商的或者大型企业分配到的闲置IP来部署一个蜜罐网络？现在蜜罐网络家族的新成员Darknet的推出给你提供了这样一个机会：Arbor网络公司的新服务Darknet正在引起安全业界的关注，这项服务使用各种蜜罐、蜜罐网络和Arbor公司自己的PeakFlaw IPS（入侵拦截系统）对Darknet的网络活动进行分析。CAIDA（互联网数据分析协会）、密歇根大学、威斯康星大学等正在利用Darknet对拒绝服务攻击、Botnet流量以及其他的可疑流量进行分析。

　　企业部署Darknet的优点

　　不过因为Darknet是对随机的IP段进行监视，因此它对底层攻击流量的分析能力有限，它更适合用于对特定类型的或者针对特定目标的攻击分析。而且它的优势还在于维护的工作量要远小于常用的蜜罐系统。

　　“通过部署Darknet，我们对攻击和连接企图进行监视”Cloudmark公司的高级研究员Adam O'Donnel说，“Darknet的维护需求比蜜罐的维护需求低，因为我们象维护蜜罐系统一样维护真实或虚拟的服务器硬件”

　　Honeynet项目的副总裁Ralph Logan 认为：“Darknet的优点还在于能进行大面积的网络流量捕捉，这使我们能更容易的发现分布式拒绝服务攻击(DDoS)、拒绝服务攻击(DoS)和Botnet威胁。因为常用的蜜罐网络可以形容为一个点，而Darknet本身就是一个面。”

　　高交互式蜜罐与低交换式蜜罐

　　蜜罐网络使用接近“真实”的服务器作为跟踪入侵行为的容器，这些经过特别配置的服务器适用于对攻击频率和特定攻击手段的发展进行分析，现在常用的蜜罐网络分两种类型，低交互式(Low-interaction)和高交互式(High-interaction)蜜罐网络。低交换式蜜罐网络和攻击者并不进行真正的交换，主要用于分析攻击在什么时间以什么形式发起，而高交互式蜜罐网络能够和攻击者进行交互，并能够记录攻击者和攻击活动的详细信息。

　　Logan还补充说：“低交互性蜜罐系统主要用于软件自动的和恶意软件的攻击进行捕获，能分析出一次攻击是在什么时候以什么方式发起；而高交互性蜜罐系统可以找出一次攻击是谁和为什么发起的”。

　　不过蜜罐网络也有它们的缺点，你需要分配人手去管理它们和跟踪它们的信息流，而且蜜罐网络也只能捕获已知的漏洞。

　　蜜罐系统正在逐渐成为企业信息安全的新防御手段

　　分布式蜜罐网络计划的负责人Albert Gonzalez表示：蜜罐网络是优秀的信息收集工具，但不幸的是，蜜罐网络系统很多时候不能提供未知漏洞的信息，它们对捕获最新的0 day漏洞无能为力，只能提供有关攻击者的攻击手法和攻击工具的信息。

　　Arbor公司和其他攻击分析组织一样，使用Darknet和蜜罐网络的组合来给他们的ISP客户提供攻击流量的分析服务。“Arbor公司的服务整合了蜜罐和自有的Peakflow技术，还整合了其他的技术，能分析全球Darknet的捕获信息。” Arbor的安全产品经理Sunil James说。

　　Logan说，运行在Darknet里面的蜜罐系统可以伪装得更为真实，让攻击者难以分辨，因为蜜罐系统设置在一个真实的IP段里面。“没有人能看出某个机器是个蜜罐系统——它看起来就像是一个企业服务器，这在捕获针对某个特定组织的IP段进行攻击的攻击者时特别有用。”

　　建立Darknet的过程并不像建立蜜罐系统那样从Honeynet项目下载免费的工具就可以完成。Darknet的监视系统需要操作者有一定的技术水平，“你需要准备一个路由器，并把整个IP段的流量路由到安装有包嗅探器和分析软件的机器上。”Cloudmark公司的O'Donnell这样认为。

　　不过从蜜罐网络和Darknet所获取的所有信息并不能使你抓到入侵者，“这些方案捕获不了最重要可以用于识别攻击者的信息”Logan说，“这是因为互联网的开放和匿名性，跟踪一个入侵者是很困难的。不过从另一个方面来说，蜜罐系统和蜜罐网络也适用于捕获来自企业内部的攻击，如果企业的某个员工被记录访问过蜜罐机器，或者试图登陆蜜罐机器，就说明他很有问题。”

　　随着来自组织内部的攻击逐渐增多，蜜罐系统正在逐渐成为企业信息安全的新防御手段，尽管现在蜜罐系统的建立和维护还相当麻烦。Logan最后说，“在过去几年中，在内网中部署蜜罐系统的企业正在增多，企业在内网中部署蜜罐系统，对保护他们的内网和发现来做企业内部人员的攻击很有帮助。”