Honeyd
Honeyd — небольшой демон, создающий виртуальные хосты в сети, которые могут быть настроены для запуска произвольных задач в определённых операционных системах. Honeyd позволяет отдельному хосту получать несколько адресов по локальной сети, а также повышает информационную безопасность, предоставляя механизмы для выявления и оценки угроз, сдерживает противников, скрывая реальные системы среди виртуальных.[1]
Название Honeyd связано с его применением в качестве приманки в honeypot.
Общие сведения
| Honeyd | |
|---|---|
| Тип | демон, honeypot |
| Автор | Niels Provos |
| Разработчик | Niels Provos |
| Написана на | C |
| Операционные системы | Unix, Linux |
| Последняя версия | |
| Лицензия | GPL |
| Сайт | honeyd.org |
Механизмы действия
Основной целью использования Honeyd является обнаружение неавторизованной деятельности внутри локальной сети организации. Honeyd отслеживает все неиспользуемые IP-адреса, и любая попытка подключения к такому адресу расценивается как неавторизованная или потенциально вредоносная активность. Таким образом, при попытке подключения Honeyd автоматически принимает обращение к этому IP-адресу и начинает отслеживать действия потенциального злоумышленника.
Подход Honeyd к обнаружению обладает рядом преимуществ по сравнению с традиционными методами:
- Простота установки и обслуживания;
- Возможность выявления как известных, так и новых атак;
- Срабатывание тревоги только при реальной атаке, что сводит к минимуму ложные срабатывания.
Honeyd также реализует эмулирование операционных систем на уровне ядра, позволяя маскировать любую систему под заданную. Поскольку злоумышленники часто определяют тип ОС с помощью таких утилит, как Nmap или Xprobe, Honeyd способен подделывать ответы, используя базу отпечатков Nmap, — что позволяет имитировать поведение любых операционных систем и использовать это для исследования попыток взлома.[2]
Подсистема виртуализации
Honeyd поддерживает механизмы виртуализации, позволяя запускать приложения Unix в качестве подсистем для виртуальных IP-адресов в уже настроенной ловушке honeypot. Это делает возможным динамическую привязку портов сетевых приложений, создание TCP- и UDP-соединений с использованием виртуального IP-адреса. Такие подсистемы перехватывают сетевые запросы и перенаправляют их в Honeyd. Плюсом служит возможность расставлять дополнительные приманки, например, генерировать фоновый трафик — запросы к веб-страницам, проверка электронной почты и др.
WinHoneyd
WinHoneyd основан на Unix/Linux-версии Honeyd, разработанной Нильсом Провосом. WinHoneyd позволяет моделировать большие сетевые структуры с разными операционными системами на одном компьютере.
Примечания
- ↑ Honeyd (англ.). www.honeyd.org. Дата обращения: 29 сентября 2025.
- ↑ Deploying Honeypots with Honeyd, Ulisses Costa Blog (8 декабря 2008). Архивировано 9 декабря 2008 года. Дата обращения: 29 сентября 2025.
Литература
- Галатенко В. А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с.
- Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.
- Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection. — 2007. — 2007 с.
Ссылки
- Developments of the Honeyd Virtual Honeypot (англ.). netVigilance. netVigilance. Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.
- Установка honeypot на примере OpenSource Honeyd. Сетевые решения. Сетевые решения. Дата обращения: 13 марта 2010.
- WinHoneyd (англ.). Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.