Praxis: Einsatz von Honeypots

Honeyd

Honeyd wurde von Niels Provos geschrieben. Es erlaubt die Simulation beliebiger Netzwerkdienste. Es unterscheidet sich jedoch massiv von den bisher besprochenen Lösungen, da es auch die Simulation beliebiger TCP/IP-Stacks erlaubt. So ist es möglich, auf einem Linux-Rechner den TCP/IP-Stack eines AIX 4.0-4.2-Rechners zu simulieren. Wenn ein Angreifer nun einen Nmap Scan des Rechners durchführt, wird ihm suggeriert, dass er gerade mit einem IBM AIX-Rechner kommuniziert. Zusätzlich erlaubt Honeyd die Simulation nicht nur eines Rechners, sondern gesamter Netzwerke, wenn die entsprechenden IP-Adressen zur Verfügung stehen. Honeyd wird als Open Source auf http://www.honeyd.org veröffentlicht.

Diese Fähigkeiten machen honeyd momentan zu einem der mächtigsten Werkzeuge. Jedoch ist honeyd nicht in der Lage, die Simulation eines Netzwerkes alleine auszuführen. Damit der für das simulierte Netzwerk bestimmte Verkehr auch bei honeyd ankommt, sind entweder explizite Routing-Einträge, ProxyArp oder der Dienst arpd erforderlich. arpd ist ein Dienst, der bei Address Resolution Protocol-Anfragen für konfigurierbare IP-Adressen immer mit der eigenen MAC-Adresse antwortet. Das Programm arpd wurde von Dug Song und Niels Provos geschrieben.

Um die verschiedenen TCP/IP-Stacks zu simulieren, benötigt honeyd Informationen über diese Stacks. Dabei verwendet honeyd dieselbe Datenbank wie nmap . Die Datenbank von nmap ist inzwischen über 700 Einträge groß. So können bis zu 700 verschiedene TCP/IP-Stacks (einschließlich Druckern, Routern etc.) simuliert werden.