当你发现自己正在遭遇黑客攻击，你是否想到佯装被骗，将计就计来迷惑甚至反击黑客？

这听起来有些玄乎，但类似的事情居然在一千年之前就曾发生过。

赤壁之战前夕，周瑜佯装醉酒，故意让曹操派来的间谍蒋干盗走一封降书，让曹操错杀了曹瑁、张允两位将领，不费一兵一卒就除掉了自己的眼中钉。这个“蒋干盗书”的历史典故如果发生在当今网络攻防的环境下，情节可能是这样：

【历史典故的攻防分析（By arkteam)】

以上内容虽是雷锋网( 公众号：雷锋网)基于历史典故的虚构，但事实上，在如今的商业甚至国家网络安全层面的网络攻防中，诸如此类的“防御者诡计”，早已经被用得淋漓尽致，甚至已经发展成了一项专门的技术。

最初，这些借刀杀人，以逸待劳的计谋，更多被用于进攻，比如：

除此之外，攻击者还会利用各种各样的人性弱点，进行社会工程学攻击。

因为攻击者总是处于主动、有利的位置，传统的被动式防御措施在如此攻势下难免捉襟见肘，可一旦防御者能采取网络欺骗的策略，反向欺骗回去，情况则大不相同。

在 FIT 2017 互联网安全创新大会上，Arkteam 安全团队的刘潮歌进行了一场名为“防御者的诡计”的主题演讲，讲述了在现如今网络攻防当中，网络防御者如何通过将计就计的手段来迷惑、拖延甚至反击对手。

在刘潮歌看来，与其把网络欺骗作为一门技术，更不如称之为一种应对策略。在APT 攻击（高级持续性威胁）日益增多的环境下，一味的防守最终会束手无策，而网络欺骗则打开了新的思路。

他认为，网络欺骗相较于传统的被动式防御，是一种更为积极主动的防御方式，它的优势主要体现在三个方面：

提及网络欺骗的具体技术手段，刘潮歌说，网络欺骗的关键技术通常有四部分：蜜罐、蜜饵/蜜标/面包屑、虚拟资产和影子服务。

蜜罐技术如今已经成为一项很常见的网络防御措施，顾名思义，蜜罐就是网络防御者精心布置的“黑匣子”，专门用来引诱黑客攻击的服务器。看似漏洞百出，实则尽在掌握，它的作用就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址。一台合格的蜜罐不仅拥有发现攻击、产生警告、数据记录、欺骗、协助调查的功能，在必要时还可以根据蜜罐收集的证据来起诉入侵者。

【蜜罐应用示意图】

这些方式和蜜罐技术类似，只是具体实施手法不同。蜜饵通常是布置一些攻击者可能感兴趣的资源作为诱饵，比如某某作战计划、某某商业合同等等，平常状态下，这些文件不会被打开，因此一旦发现这些这些文件被他人碰触或打开，则基本可以断定有人入侵，有必要仔细检查一下内网的安全了。

【蜜饵应用示意图】

蜜标同样如此，很多人不知道的是，我们常用的 Word 文档、PDF 文档中其实可以植入一个URL地址，当攻击者打开这个文件时，链接可以被自动打开，而且是以 HTTP 的形式打开，因此当攻击者打开蜜标文件时，防御者就可以借机获取他的IP地址、浏览器指纹等攻击者的信息，从而溯源攻击者。

【蜜标应用示意图】

和蜜饵/蜜标相比，面包屑更为主动，防御者通过故意释放出更多更零散的虚假信息，比如虚假的 Cookie 信息、虚假的浏览器记录密码、SSH 秘钥、VPN 秘钥等等，许多攻击者拿到这些信息时，往往会以为自己捡到了宝贝，殊不知自己得到的是一剂“毒药”，这些面包屑会将攻击者引诱至提前布置好的蜜罐或影子服务当中，从而瓮中捉鳖。

无论是蜜罐、蜜饵还是面包屑，都是基于“诱饵”的思想，这些诱饵既可以是一些虚假的代码注释，可以是故意用来给攻击者的虚假网站后台，可以是一条数据库记录，当有人用SQL注入来获取这条记录的时候，就相当于给你报警了。

刘潮歌强调，如果企业希望通过网络欺骗来进行防御，那么不妨提前根据自身的网络环境来了解，哪些东西可以真正作为诱饵。

影子服务是由 ArkTeam 自己提出来的防御方式，较传统的蜜罐来说更具有迷惑性和实用性，但也更加复杂。所谓影子服务，就是一个和真实服务看起来一模一样的网络服务，不同的是，真实服务提供给用户，而影子服务提供给攻击者。当有一些可疑流量过来时，可以先把它带到影子服务器上进行监控分析，如果发现是攻击者，则进行下一步监控、警报和记录攻击行为。

【影子服务应用示意图】

除了诱饵，防御者还想到了为自己的重要资产找一些“替身”，这就是虚拟资产。在传统的防御状态下，一个企业的内部网络对于黑客来说并不会太复杂，只要突破内外网的围墙式防御就可以为所欲为，很快就能接触到企业的重要资产，因此有人也将围墙式的防御比作是椰子，外表很坚固，里面很美味。

但如果防御者部署了大量虚拟资产，则可以让攻击者无法触碰到真实资产，让他好似进入迷宫找不到出口，一步步耗费时间精力，赢得更多反击时间，甚至逼迫对方主动放弃攻击。

从某种层面来说，影子服务也起到了类似的作用——“黏”住黑客。

【图片来源：长亭科技】

雷锋网注意到，刘潮歌在演讲中多次强调一件事——网络欺骗将逐渐在网络攻防中扮演越来越重要的位置。他说，2014 年美国空军发布了一个研究报告（BAA-RIK-14-07), 指出要研究网络欺骗技术，并在次年签订了两份总值9800万美元的合同，其中一份就是关于网络欺骗技术的。美国军方公开采购了这一合同，这在学术界或商业界都实属罕见。

【美军发布网络欺骗相关报告】

在商业应用方面，专业研究机构 Gartner 也在2015年7月发布的报告中也指出，基于欺骗的安全防御技术将会有很大的市场前景，并预测到2018年，将会有10%的单位使用欺骗工具或策略来对抗网络攻击。

甚至在学术界，网络欺骗也逐渐得到重视，2016 年7月，Springer 出版了一本名为《Cyber Deception: Building the Scientific Foundation 》的书籍，书中集合了世界各地顶级网络欺骗研究人员的最新研究，目的就是为网络欺骗建立学科基础。

雷锋网编辑认为，世间万事万物，道理总是相通，有人说商场如战场，有人说官场如战场，也许在刘潮歌的眼中，网络世界也是一片充满谋略、尔虞我诈的战场，而网络欺骗技术和古代战争中的计谋也并不区别，策略还是那些策略，兵法还是兵法，只是实施的地点从一个战场转移到另一个战场罢了。