黑名单是 IP 地址或符号域名的列表,用于标记恶意流量。这些列表通常使用蜜罐计算,本质上是部署在网络(通常是 Internet)上的主机或服务,它们很容易被入侵,并且在使用/受到攻击时,它们充当了发现攻击者和入侵者的现代“试金石”。
黑名单通常包含公共 IP 地址/域名,因为它们用于“预测问题”:这是因为如果 IP 地址已被列入黑名单,则该主机做了坏事,因此当我们在网络中看到这样的流量时,对于这样的主机,我们需要小心,因为我们可能正在受到攻击/扫描。请注意,黑名单和蜜罐也可以部署在专用网络上:例如,您可以在网络中保留一系列未分配的 IP 地址并将它们添加到黑名单中,以发现通过横向移动扫描您 LAN 的内部主机。