Honeyd (Honeyd)

Honeyd — это небольшой демон, создающий виртуальные хосты в сети, которые могут быть настроены для запуска произвольных задач в определённых операционных системах. Honeyd позволяет отдельному хосту получать несколько адресов по локальной сети для сетевой имитации, а также повышает информационную безопасность, предоставляя механизмы для выявления и оценки угроз, сдерживает противников, скрывая реальные системы в середине виртуальных систем.

Honeyd получил своё название благодаря способности быть использованным в качестве приманки Honeypot.

Основной целью использования Honeyd является обнаружение неавторизованной деятельности внутри локальной сети организации. Honeyd наблюдает за всеми неиспользуемыми IP-адресами, при этом любая попытка подсоединения к такому IP-адресу рассматривается как неавторизованная или злонамеренная активность. Поэтому, когда происходит попытка подключения к одному из них, Honeyd автоматически определяет принадлежность неиспользуемого IP-адреса, и начинает исследовать взломщика.

Этот подход к обнаружению имеет несколько преимуществ по сравнению с традиционными методами:

1. Honeyd легко устанавливать и обслуживать;
2. Honeyd обнаруживает не только известные атаки, но также неизвестные;
3. Honeyd выдает сигнал тревоги только в случае реальной атаки, вероятность ложного сигнала сведена к минимуму.

Honeyd также предоставляет и такую возможность Honeypot как эмулирование операционной системы на уровне ядра. Вследствие того, что взломщики часто удаленно определяют тип операционной системы, используя такие утилиты, как Nmap или Xprobe, а Honeyd использует базу отпечатков утилиты Nmap, то возможна и подделка ответов любой операционной системы, которую необходимо эмулировать. Эта способность Honeyd используется для исследования попыток взлома систем.

Honeyd поддерживает задачи виртуализации, выполняя приложения Unix как подсистем виртуального пространства IP-адресов в уже настроенной ловушке Honeypot. Это позволяет любому сетевому приложению динамически связывать порты, создавать TCP и UDP соединения, используя виртуальный IP-адрес. Подсистемы перехватывают сетевые запросы и перенаправляют их в Honeyd. Дополнительным преимуществом такого подхода является возможность расстановки приманок для создания фонового трафика, например, запрашивание веб-страниц и чтение электронной почты и т. д.

WinHoneyd основана на Honeyd версии для Unix / Linux Platform, разработанной Niels Provos. WinHoneyd способна моделировать большие сетевые структуры с различными операционными системами на одном хосте.

• Галатенко В.А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с.
• Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.
• Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.

• Developments of the Honeyd Virtual Honeypot (англ.). netVigilance. Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.
• Разумов М. Установка honeypot на примере OpenSource Honeyd  (неопр.). Сетевые решения. Дата обращения: 13 марта 2010.
• WinHoneyd (англ.). Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.