蜜罐是一种网络安全技术,它主要目的是通过伪装成真实系统或服务来诱骗攻击者攻击。蜜罐能主动诱惑攻击,克服了防火墙静态防御的缺点;又因为只作为诱饵,没有其它用途,所有进出蜜罐的数据都是可疑的,这样就弥补了入侵检测系统高误报率和高漏报率的缺陷。蜜罐有着许多其它网络安全技术无法比拟的优点,已经成为当前网络安全领域里研究的热点。本文提出欺骗端口系统(Decoy Port System DPS)来解决蜜罐收集和研究攻击行为只局限于自身而不适用于网络问题。该系统安装在非蜜罐主机上,它能接收Snort系统的入侵检测报警通知,响应通知来切断后续攻击,黑客再次攻击时将攻击重定向到蜜罐;还能用欺骗端口模拟服务,吸引攻击并将攻击重定向到蜜罐,给黑客以已成功攻陷该非蜜罐主机的假象;并改进重定向避免了指纹识别等问题。本文设计了一种Snort输出插件,该插件可以格式化入侵数据形成通知发送给欺骗端口系统。实验结果表明,欺骗端口系统有效地将Snort系统检测到的和模拟服务端口吸引到的攻击平滑地重定向到蜜罐。本文提出动态连接重定向思想解决了传统连接限制方法在阻止黑客攻陷蜜罐后向外入侵方面所带来的安全和效率问题。该思想描述了连接限制方法带来的一些弊端;讨论蜜罐之间相互重定向存在的问题,并加以改进;然后实例阐述了linux系统dnat实现重定向的原理。利用基于netfilter/iptables的linux防火墙设置iptables规则,防火墙根据IP和端口等包头特征将向外的攻击流动态地转移到其他蜜罐上来实现该思想。实验结果表明,蜜罐之间有效地重定向攻击流,并阻止黑客识别蜜罐的存在,一定程度上解决了外出连接带来的问题。