+

蜜罐就是一个启动在主机上的服务，或者说一个docker镜像，它承担着牺牲自己来获取攻击者数据的作用，大多数情况的蜜罐本身并没有什么攻击作用，更多是一种信息收集兼“挨打”的设备，他们的目的都是诱使黑客对其进行攻击，然后对其的行为进行记录并声称日志，通过对蜜罐收集到对日志进行人工或者自动化的分析来得到对网络环境中的威胁情况感知

作用

批量获取恶意ip，且准确率高，因为能访问蜜罐的ip都是恶意ip

节省资源

相比较于常规的IDS，误报率小的多

捕获到更多攻击者的信息

可以轻易捕获内部威胁

放置一些诱饵信息进而浪费黑客的攻击时间，甚至达到反制黑客主机的效果

分类

低交互型：仿真效果不好，但是攻击者获取不到更有用的信息，减少风险。实例：Dionaea, Honeyd, KFSensor。高交互型：能够做到以假乱真，让攻击者以为这就是一个真的系统。但是系统模拟的越真，攻击者能获取到的信息也就越多，需要取舍。实例：Shadow Daemon, Lyrebird。