Honeyd (Honeyd)

Перейти к навигации Перейти к поиску

Honeyd — это небольшой демон, создающий виртуальные хосты в сети, которые могут быть настроены для запуска произвольных задач в определённых операционных системах. Honeyd позволяет отдельному хосту получать несколько адресов по локальной сети для сетевой имитации, а также повышает информационную безопасность, предоставляя механизмы для выявления и оценки угроз, сдерживает противников, скрывая реальные системы в середине виртуальных систем.

Honeyd получил своё название благодаря способности быть использованным в качестве приманки Honeypot.

Механизмы действия

[править | править код]

Основной целью использования Honeyd является обнаружение неавторизованной деятельности внутри локальной сети организации. Honeyd наблюдает за всеми неиспользуемыми IP-адресами, при этом любая попытка подсоединения к такому IP-адресу рассматривается как неавторизованная или злонамеренная активность. Поэтому, когда происходит попытка подключения к одному из них, Honeyd автоматически определяет принадлежность неиспользуемого IP-адреса, и начинает исследовать взломщика.

Этот подход к обнаружению имеет несколько преимуществ по сравнению с традиционными методами:

  1. Honeyd легко устанавливать и обслуживать;
  2. Honeyd обнаруживает не только известные атаки, но также неизвестные;
  3. Honeyd выдает сигнал тревоги только в случае реальной атаки, вероятность ложного сигнала сведена к минимуму.

Honeyd также предоставляет и такую возможность Honeypot как эмулирование операционной системы на уровне ядра. Вследствие того, что взломщики часто удаленно определяют тип операционной системы, используя такие утилиты, как Nmap или Xprobe, а Honeyd использует базу отпечатков утилиты Nmap, то возможна и подделка ответов любой операционной системы, которую необходимо эмулировать. Эта способность Honeyd используется для исследования попыток взлома систем.

Подсистема виртуализации

[править | править код]

Honeyd поддерживает задачи виртуализации, выполняя приложения Unix как подсистем виртуального пространства IP-адресов в уже настроенной ловушке Honeypot. Это позволяет любому сетевому приложению динамически связывать порты, создавать TCP и UDP соединения, используя виртуальный IP-адрес. Подсистемы перехватывают сетевые запросы и перенаправляют их в Honeyd. Дополнительным преимуществом такого подхода является возможность расстановки приманок для создания фонового трафика, например, запрашивание веб-страниц и чтение электронной почты и т. д.

WinHoneyd основана на Honeyd версии для Unix / Linux Platform, разработанной Niels Provos. WinHoneyd способна моделировать большие сетевые структуры с различными операционными системами на одном хосте.

Литература

[править | править код]
  • Галатенко В.А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с.
  • Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.
  • Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.