Honeytrap เป็น honeypot ที่มีการโต้ตอบต่ำและเครื่องมือรักษาความปลอดภัยเครือข่ายที่เขียนขึ้นเพื่อตรวจจับการโจมตีบริการ TCP และ UDP ในการกำหนดค่าเริ่มต้น มันจะทำงานเป็น daemon และเริ่มกระบวนการเซิร์ฟเวอร์ตามความต้องการเมื่อมีการพยายามเชื่อมต่อกับพอร์ต
มีโหมดการทำงานที่แตกต่างกันซึ่งควบคุมวิธีจัดการการเชื่อมต่อ ใน โหมดปกติ เซิร์ฟเวอร์จะส่งข้อมูลตามอำเภอใจที่ให้ไว้ในไฟล์เทมเพลตซึ่งเป็นวิธีการพื้นฐานในการจำลองโปรโตคอลที่รู้จัก เครื่องมือโจมตีอัตโนมัติจำนวนมากจะถูกหลอกและดำเนินการต่อด้วยกล่องโต้ตอบการโจมตี โหมดยอดนิยมคือโหมดที่เรียกว่า โหมดมิเรอร์ ซึ่งการเชื่อมต่อขาเข้าจะถูกส่งกลับไปยังตัวเริ่มต้น เคล็ดลับนี้ช่วยลดความจำเป็นในการจำลองโปรโตคอลในหลายกรณี โหมดที่สาม โหมดพร็อกซี อนุญาตให้ส่งต่อเซสชันเฉพาะไปยังระบบอื่น เช่น honeypots ที่มีปฏิสัมพันธ์สูง
โมดูล API มอบวิธีง่ายๆ ในการเขียนส่วนขยายแบบกำหนดเองที่โหลดลงใน honeypot แบบไดนามิก ข้อมูลการโจมตีที่มาถึงจะถูกรวบรวมไว้เป็น สตริงการโจมตี ที่เรียกว่า ซึ่งสามารถบันทึกลงในไฟล์หรือฐานข้อมูล SQL สำหรับการตรวจสอบด้วยตนเอง Honeytrap มาพร้อมกับปลั๊กอินต่างๆ ที่ทำงานบนสตริงการโจมตีเหล่านี้เพื่อดึงข้อมูลเพิ่มเติมหรือจำลองการดำเนินการเพิ่มเติม ตัวอย่างคือโมดูล httpDownload
ที่แยกสตริง URL ออกจากข้อมูลการโจมตีและเรียกใช้เครื่องมือภายนอกเพื่อดาวน์โหลดทรัพยากรที่เกี่ยวข้องโดยอัตโนมัติ
การติดตั้ง honeytrap นั้นค่อนข้างตรงไปตรงมา เพียงรันคำสั่งต่อไปนี้ในไดเร็กทอรีรากของแผนผังต้นทาง:
./configure --with-stream-mon=<type>
make
sudo make install
พารามิเตอร์ --with-stream-mon
ระบุว่า honeytrap ควรค้นหาความพยายามในการเชื่อมต่อขาเข้าอย่างไร บน Linux ตัวเลือกที่ต้องการคือ --with-stream-mon=nfq
ซึ่งสั่งให้ honeytrap จับแพ็คเก็ตโดยใช้คุณสมบัติ iptables NFQUEUE
เมื่อใช้คุณสมบัตินี้ กฎ iptables ดังต่อไปนี้จะวางเซ็กเมนต์ TCP-SYN ขาเข้าไว้ในคิวซึ่ง honeytrap สามารถรับเซ็กเมนต์เหล่านั้นได้:
sudo iptables -A INPUT -p tcp --syn --m state --state NEW --dport 445 -j NFQUEUE
ตรวจสอบให้แน่ใจว่าไม่ได้จัดคิวแพ็กเก็ตไปยังบริการที่สำคัญอื่นๆ โปรดดูไฟล์ INSTALL และเอาต์พุตของ ./configure --help
สำหรับข้อมูลเพิ่มเติม
นี่คือการโจมตีที่บันทึกไว้โดยบอต IRC รุ่นเก่าที่แพร่กระจายผ่านการใช้ประโยชน์ MS04-011 LSASS แบบคลาสสิกตลอดกาล และบริการ FTP พื้นฐานที่ติดตั้งอยู่ในมัลแวร์