Grundlagen: Das müssen Sie über Honeypots wissen

Tiny Honeypot

Tiny Honeypot (THP) wurde von George Bakos geschrieben. THP erlaubt die Simulation eines Diensts auf jedem Port. Hierzu werden kleine Perl-Programme verwendet, die die Verbindungsanfrage entgegennehmen und jede Art von Dienst simulieren können. THP wurde für Linux geschrieben und benötigt die Netfilter-Architektur für die Implementierung des Honeypots. Da auch hier die Dienste lediglich simuliert werden, geht von THP grundsätzlich keine Gefahr aus. Es wird unter der GNU GPL veröffentlicht.

Deception Toolkit

Das Deception Toolkit (DTK) wurde von Fred Cohen bereits 1998 entwickelt. Es wurde wie THP in Perl programmiert und erlaubt ebenso die Simulation beliebiger Dienste unter UNIX/Linux. Hierzu kann mit einer Script-Sprache das Verhalten des simulierten Diensts definiert werden. Das Deception Toolkit ist kostenlos erhältlich. Eine grafische Oberfläche für die einfache Administration wird kommerziell angeboten.

Honeyd

Honeyd wurde von Niels Provos geschrieben. Es erlaubt ebenfalls die Simulation von beliebigen Netzwerkdiensten. Es unterscheidet sich jedoch massiv von den bisher besprochenen Lösungen, da es auch die Simulation von beliebigen TCP/IP-Stacks erlaubt. So ist es möglich, auf einem Linux-Rechner den TCP/IP-Stack eines AIX 4.0-4.2-Rechners zu simulieren. Dies ist auch mit einem Patch für den TCP/IP-Stack möglich. Dann kann aber nur ein weiteres Betriebssystem simuliert werden. Honeyd erlaubt die Simulation beliebig vieler Betriebssysteme. Wenn ein Angreifer nun einen Nmap-Scan des Rechners durchführt, wird ihm suggeriert, dass er gerade mit einem IBM-AIX-Rechner kommuniziert. Zusätzlich erlaubt Honeyd die Simulation nicht nur eines Rechners, sondern gesamter Netzwerke, wenn die entsprechenden IP-Adressen zur Verfügung stehen. Honeyd wird als Open Source veröffentlicht.