More Related Content Similar to Honeypot چیست (20) Honeypot چیست1. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
1
Honeypotچیست؟
Honeypotمی باعث پویا ماهیت همین .هستند پویا شدیدا و جدید تقریبا تکنولوژی یك هاراحتی به که شودآنها نتوان
کرد تعریف را. Honeypotو نرفته شمار به حل راه یك خود خودی به هانمی حل را خاصی امنیتی مشکل هیچکن،ند
می انجام اطالعات امنیت برای مختلفی کارهای که هستند پذیری انعطاف بسیار ابزارهای بلکهدهند.
نفوذ تشخیص سیستمهای و فایروالها مانند تکنولوژیهایی با تکنولوژی این(IDS)تکنولوژیها این که چرا ،است متفاوت
ح را خاصی امنیتی مسائلمی تعریف راحتتر دلیل همین به و کرده لبه پیشگیرانه تکنولوژی یك فایروالها .شوندمی شمار
می جلوگیری کامپیوتر سیستم یا شبکه به مهاجمان ورود از آنها ،آیندکنند. IDS.هستند تشخیصی تکنولوژی یك ها
کر شناسایی را خرابکارانه یا مجاز غیر فعالیتهای که است این آنها هدفدهن هشدار امنیت متخصصان به آنها درباره و ده.د
تعریفHoneypot،اطالعات آوری جمع ،تشخیص ،پیشگیری در است ممکن آنها که چرا ،است تری سخت کار ها
یك بتوان شاید .گیرند قرار استفاده مورد دیگری کارهای وHoneypotکرد تعریف صورت این به را:
Honeypotاطالعاتی سیستم یكاست آن از دیگران ممنوع و مجاز غیر استفاده به آن ارزش که است.
ایمیل لیست اعضای وسیله به تعریف اینHoneypotایمیل لیست .است شده انجامHoneypotاز متشکل فروم یك
از بیش0555آنجاییکه از .است امنیت متخصصHoneypotارائ ،دارند وجود مختلفی های اندازه و اشکال در هاه
یك تعریف .است سختی بسیار کار آن از جامعی تعریفHoneypotآن هدف حتی یا و آن کار نحوه دهنده نشان
یك گذاری ارزش نحوه به ناظر صرفا تعریف این .نیستHoneypot،تر ساده عبارت به .استHoneypotیك ها
.دارد بستگی آنها با مجرمان تعامل به آنها ارزش که هستند تکنولوژیتمامیHoneypotکار ایده یك اساس بر ها
میبا تعاملی هر ،نماید برقرار تعامل آنها با یا و کند استفاده آنها از نباید هیچکس :کنندHoneypotشمرده مجاز غیر
می شمار به خرابکارانه حرکت یك از ای نشانه و شدهرود.
2. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
2
یكHoneypotمی قرار سازمان شبکه در که است سیستمی،گیردو ندارد کاربردی هیچ شبکه آن کاربران برای اما
یك دارای سیستم این .ندارند را سیستم این با ارتباطی هیچگونه برقراری حق سازمان اعضای از یك هیچ حقیقت در
می ضعف دارای سیستمهای دنبال به همیشه شبکه یك به نفوذ برای مهاجمان آنجاییکه از .است امنیتی ضعفهای سری-
،گردندمی جلب خود به را آنها توجه سیستم این.کند
تالش یك ،سیستم این با ارتباط برقراری برای تالشی هر پس ،ندارد را سیستم این با ارتباط حق هیچکس اینکه به توجه با
می محسوب مهاجمان سوی از خرابکارانهبه و داده فریب را مهاجمان که است دام نوعی سیستم این حقیقت در .شود
می جلب خود سویمی سازمان به نیز را فرصت این ،مهاجمان کار کنترل و نظارت امکان بر عالوه ترتیب این به و کنددهد
دارند نگه دور خود شبکه اصلی سیستمهای از را مهاجم فرد که.
یكHoneypotنمی ارائه واقعی سرویس هیچورود برای که تالشی هر ،گیرد انجام که تعاملی هر .دهدسی این بهستم
یك روی که ای داده فایل هر یا ،گیرد صورتHoneypotاز ای نشانه زیاد بسیار احتمال با ،گیرد قرار دسترسی مورد
سیستم یك ،مثال برای .است مجاز غیر و خرابکارانه فعالیت یكHoneypotمیکار به داخلی شبکه یك روی تواند
این .شود گرفتهHoneypotخ ارزش هیچ ازآن از استفاده به نیازی سازمان درون در هیچکس و نیست برخوردار اصی
می سیستم این .کند استفاده آن از نباید و نداشتهایستگاه یك حتی یا ،سرور وب یك ،سرور فایل یك ظاهر به تواند
انجام حال در زیاد احتمال با ،نماید برقرار ارتباط سیستم این با کسی اگر .باشد معمولی کاریفعالیت یكیا مجاز غیر
است خرابکارانه.
یك ،حقیقت درHoneypotمی سیستم این .باشد کامپیوتر یك حتما که نیست الزم حتیدیج نهاد نوع هر تواندیتالی
به آن از (معموال باشدHoneytokenمی یادمی بیمارستان یك ،مثال برای .ندارد واقعی ارزش هیچ که )شودیك تواند
نا مجموعهرکوردها این آنجاییکه از .نماید ایجاد بیماران اطالعاتی رکوردهای از درستHoneypotهیچکس ،هستند
می رکوردها این .کند برقرار تعامل آنها با یا کرده پیدا دسترسی آنها به نبایدا بیماران داده پایگاه داخل در توانندین
جزء یك عنوان به بیمارستانHoneypotاگ .گیرند قراررکوردها این به دسترسی برای مهاجم فرد یك یا کارمند یك ر
3. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
3
می ،نماید تالشرکوردها این از نباید هیچکس که چرا ،رود شمار به مجاز غیر فعالیت یك از ای نشانه عنوان به تواند
می صادر هشدار پیغام یك ،کند پیدا دسترسی رکوردها این به چیزی یا شخصی اگر .کند استفادهاین .شودساده ایده
پشتHoneypotمی ارزشمند را آنها که هاستکند.
چند یا دوHoneypotیك ،باشند گرفته قرار شبکه یك در کهHoneynetمی تشکیل راهای شبکه در نوعا .دهند
یك که متنوعتر و بزرگترHoneypotاز ،نیست کافی شبکه بر نظارت برای تنهایی بهHoneynetمی استفادهکنند.
Honeynetمی سازی پیاده نفوذ تشخیص بزرگ سیستم یك از بخشی عنوان به معموال هاحقیقت در .شوند
Honeynetاز شبکه یكHoneypotتعاملها و فعالیتها تمامی که است شده تنظیم طوری که باالست تعامل با های
می ثبت و کنترل ،شبکه این باشود.
از استفاده مزایایHoneypot
Honeypotمی آوری جمع را ها داده از کوچکی های مجموعه صرفا هاکنند. Honeypotکسی که زمانی فقط ها
می آوری جمع را ها داده کند برقرار ارتباط آنها با چیزی یاها داده از کوچکی بسیار های مجموعه صرفا نتیجه در ،نمایند
می جمع راس .ارزشمندند بسیار ها داده این البته که ،کنندمی ثبت روز هر در را هشدار پیغام هزاران که ازمانهاییکبا ،نند
از استفادهHoneypotمی باعث موضوع این .نمایند ثبت را هشدار پیغام صد فقط است ممکن هاو مدیریت که شود
توسط شده آوری جمع های داده تحلیلHoneypotباشد تر ساده بسیار ها.
Honeypotتشخیص خطاهای موارد هامی کاهش را اشتباهدهند.تشخیصی سیستمهای اغلب چالشهای مهمترین از یکی
نشان واقعا دهنده هشدار پیغامهای این ،زیادی موارد در و کرده تولید زیادی خطای دهنده هشدار پیغامهای که است این
می تشخیص تهدید را رویداد یك حالی در یعنی .نیستند خطری هیچ وقوع دهندهدر که دهندک در تهدیدی حقیقتار
می تر فایده بی دهنده تشخیص تکنولوژی ،باشد بیشتر اشتباه تشخیص این احتمال چه هر .نیستشود. Honeypotبه ها
می کاهش را اشتباه تشخیصهای این درصد توجهی قابل طوربا مرتبط فعالیت هر تقریبا که چرا ،دهندHoneypotبه ها
تعریف مجاز غیر فرض پیش طوردلیل همین به .است شدهHoneypotموثرند بسیار حمالت تشخیص در ها.
4. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
4
Honeypotمی هادهند تشخیص را ناشناخته حمالت توانند.معمول تشخیصی تکنولوژیهای در که دیگری چالش
نمی تشخیص را ناشناخته حمالت معموال آنها که است این دارد وجودمهم و حیاتی بسیار تفاوت یك این .دهندبین
Honeypotآماری های داده یا شده شناخته امضاهای اساس بر که است معمولی کامپیوتری امنیت تکنولوژیهای و ها
می تشخیصحداقل ای حمله هر باید ابتدا که هستند معنا این به تعریف در ،امضا بر مبتنی تشخیصی تکنولوژیهای .دهند
س و گردد شناسایی آن امضای و شده انجام بار یكمبتنی تشخیص .شود شناخته بعدی موارد در ،امضا آن از استفاده با پس
می رنج آماری خطاهای از نیز آماری های داده بربرد. Honeypotنیز را جدید حمالت که اند شده طراحی طوری ها
می کشف و شناساییبا ارتباط در فعالیتی هر که چرا .کنندHoneypotد و شده شناخته معمول غیر هاحمالت نتیجه ر
می معرفی نیز را جدیدکند.
Honeypotمی کشف نیز را شده رمز فعالیتهای هاکنند.،باشد شده رمز حمله یك اگر حتیHoneypotمی هاتوانند
مانند رمزگذاری پروتکلهای از سازمانها از بیشتری تعداد که تدریج به .کنند کشف را فعالیت اینSSH،IPsecو ،SSL
استفادهمیمی نشان را خود بیشتر مساله این ،کننددهد. Honeypotمی هاحمالت که چرا ،دهند انجام را کار این توانند
با شده رمزHoneypotمی برقرار تعامل ،ارتباط انتهایی نقطه یك عنوان بهتوسط فعالیت این و کنندHoneypotرمز
می گشاییشود.
HoneypotباIPv6می کارکند.اغلبHoneypotپروتکل از نظر صرف هاIPجمله ازIPv6محیط هر در ،IP
می کارکنند. IPv6اینترنت پروتکل جدید استاندارد یك(IP)آن از کشورها از بسیاری در سازمانها از بسیاری که است
می استفادهنفو تشخیص سیستم سنسورهای و فایروالها مانند فعلی تکنولوژیهای از بسیاری .کنندب ذبا خوبی هIPv6سازگار
اند نشده.
Honeypotپذیرند انعطاف بسیار ها. Honeypotمی و پذیرند انعطاف بسیار هامورد مختلفی محیطهای در توانند
انعطاف قابلیت همین .گیرند قرار استفادهHoneypotمی اجازه آنها به که هاستتعداد که دهند انجام را کاری دهد
تکن از کمی بسیارمی ولوژیهاداخلی حمالت علیه بر خصوص به ارزشمند اطالعات آوری جمع :دهند انجام توانند.
5. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
5
Honeypotدارند نیاز منابع حداقل به ها.،ها شبکه بزرگترین در حتیHoneypot.دارند احتیاج منابع حداقل به ها
می ساده و قدیمی پنتیوم کامپیوتر یكآدرس میلیونها تواندIPشبک یك یاهOC-12نماید نظارت را.
از استفاده معایبHoneypot
Honeypotتکنولوژی هیچ جای که اند نشده طراحی این برای آنها .دارند معایبی دیگری تکنولوژی هر مانند نیز ها
بگیرند را خاصی.
Honeypotهستند محدود و کوچك دید محدوده یك دارای ها. Honeypotمی را کسانی همان فقط هاکه بینند
می تعامل به آنها بامشاهده را سیستمها سایر با شده انجام تعامالت یا و سیستمها سایر علیه بر حمالت نتیجه در .پردازند
نمیمی شمار به نیز عیب یك ،است مزیت یك که حال عین در نکته این .کنندیك .رودHoneypotنمی شما بهگوید
استفاده سوء مورد دیگری سیستم کهخود با گرفته قرار استفاده سوء مورد که سیستمی اینکه مگر ،است گرفته قرار
Honeypotمی آنها طریق از که دارد وجود زیادی راههای عیب این کردن برطرف برای .نماید برقرار تعاملیتوانید
سمت به را مهاجمان فعالیتHoneypotمی میان این از .دهید مسیر تغییر هابه توانHoneytokenمسیر تغییر و ها
کرد اشاره.
ریسكمی کار به را جدید تکنولوژی یك شما که زمان هربه نیز را خود به مخصوص ریسکهای تکنولوژی آن ،گیرید
اهداف علیه بر حمالت برای ابزاری عنوان به آن از و کرده غلبه سیستم این بر مهاجم یك که ریسك این مثال ،دارد همراه
خارجی و داخلیپشته هیچ که نفوذ تشخیص سیستمهای حتی .نماید استفادهIPنیز است نشده داده تخصیص آنها به
میباشند داشته قرار خطر معرض در توانند. Honeypotنیستند استثناء مورد این در نیز ها. Honeypotمختلف های
وجود خطرات این کاهش برای نیز مختلفی راههای .دارند متفاوتی خطر سطوحانواع میان از .داردHoneypot،ها
هستند دارا را خطر سطح بیشترین نتها هانی.
6. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
6
انواعHoneypot
بهتر درك برایHoneypotمی ،هاتعامل با گروه دو به را آنها توانیم( Interaction)تقسیم زیاد تعامل با و کم
از منظور .کنیمinteractionکه است تعاملی و فعالیت میزان ،آن با دارد اجازه مهاجم فرد یكHoneypotانجام
می بیشتری کارهای مهاجم فرد ،باشد بیشتر تعامل و فعالیت میزان این چههر .دهدم شما نتیجه در و دهد انجام تواندیتوانید
ریسك میزان ،تعامل و فعالیت این افزایش با البته .آورید بدست بیشتری اطالعات فعالیتش و وی به راجعنمی افزایش یز
یابد. Honeypotمی صادر را تعامالت از کمی حجم انجام اجازه کم تعامل با هایحالیکه در ،کنندHoneypot
می اجازه را تعامالت از زیادی حجم زیاد تعامل با هایدهند.
Honeypotكم تعامل با های
Honeypotم کار سرویسها و سیستمها سازی شبیه با ،کم تعامل با هاییشامل صرفا نیز مهاجمان فعالیتهای و کنندهمان
می چیزهاییمی اجازه شده سازی شبیه سرویسهای که شود،مثال برای .دهندHoneypot BackOfficer Friendly
نمونه یكHoneypotمی سازی شبیه را مختلف سرویس هفت که است ساده بسیارکارهایی مورد در مهاجمان .کند
با کهHoneypotممی شده سازی شبیه سرویسهای بر بتنی،حالت بیشترین در .هستند محدود بسیار دهند انجام توانند
می مهاجماناین به توانندHoneypotدهند انجام را کمی اولیه دستورات و شده وصل ها.
از استفادهHoneypotهای گزینه با پیش از معموال آنها که چرا ،است تر ساده کم تعامل با هایبرای مختلفی
administratorیك بالفاصله و کنید کلیك و کرده انتخاب شما است کافی فقط .اند شده تنظیمHoneypotبا را
این جمله از .باشید داشته اختیار در خود نظر مورد رفتار و سرویسها ،عامل سیستمHoneypotمی هابه توانSpecter
طرا ویندوز تحت اجرای برای که کرد اشارهاین .است شده حیHoneypotمیتا تواند31را مختلف عامل سیستم
و کرده سازی شبیه31می باعث کاربری واسطهای .نماید نظارت را مختلف سرویساین از استفاده که شوند
Honeypotمی که سرویسهایی روی است کافی فقط ،باشد ساده بسیار هاک کلیك گیرند قرار نظارت تحت خواهیدرده
ورفتار نحوهHoneypotنمایید تعیین را.
7. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
7
Honeypotرا کارهایی ،شده سازی شبیه سرویسهای که چرا ،برخوردارند کمتری خطر از همچنین کم تعامل با های
می هکر کهمی محدود دهد انجام تواندکردن لود برای حقیقی عامل سیستم هیچ .کنندtoolkitوجود مهاجم توسط ها
هیچ و ،نداردنیست موجود نیز کرد نفوذ آن به بتوان واقعا که سرویسی.
می را اطالعات از محدودی حجم سرویسها این اما.هستند محدود آنها با کار در هکرها که چرا ،نمایند آوری جمع توانند
می کار بهتر انتظار مورد حمالت و شده شناخته رفتارهای با مواجهه در سرویسها این همچنینزمان .کنندهک که یکاری رها
می انجام را منتظره غیر یا ناشناختهاین ،دهندHoneypotفعالیت ثبت یا ،مناسب پاسخگویی ،هکر فعالیت درك در ها
می روبرو مشکل بااز مثالهایی عنوان به .شوندHoneypotمی کم تعامل با هایبه توانHoneyd،Specterو ،
KFSensorن بهتر درك برای .کرد اشارهکار حوهHoneypotبه کوتاهی نگاه ،کم تعامل با هایHoneydمی
اندازیم.
از مثالیHoneypotکم تعامل با های: Honeyd
HoneydیكHoneypotآوریل در بار اولین که است باز متن2552توسط«پرووس نیلز»شد عرضه. Honeyd
دسترس اجازه و بوده رایگان ،باز متن حل راه یك عنوان بهاین .آورد می فراهم را خود منبع کد به کاربران کامل ی
Honeypotمی ،است شده طراحی یونیکس سیستمهای برای کهگیر قرار استفاده مورد نیز ویندوز سیستمهای در تواند.د
می دست از را یونیکس سیستمهای در استفاده مورد ویژگیهای از بسیاری حالت این در البتهدهد. Honeydیك
Honeypotمی نصب کامپیوتر یك روی را آن افزار نرم که است کم تعامل باسیس صدها افزار نرم این سپس .کنیدتم
می سازی شبیه را مختلف سرویس و عاملمی تعیین شما ،تنظیمات فایل ویرایش با .کندآدرسه کدام که کنیدایIP
توسطHoneydسا شبیه که عاملهایی سیستم انواع ،گردند کنترلمی زیشبی سرویسها کدام و ،باشند کدامها شونده
گردند سازی.
می شما مثال برایبه توانیدHoneydسیستم یك هسته که بگوییدLinux 2.4.10سرور یك با راFTPپورت به که
23می گوشاین به مهاجمان اگر .نماید سازی شبیه دهدHoneypotد که بود خواهند باور این بر ،کنند مراجعهحال ر
سرویس به مهاجمان اگر .هستند لینوکس سیستم یك با تعاملFTPسرویس یك با که کرد خواهند تصور ،شوند متصل
8. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
8
واقعیFTPسرویس یك شبیه کامال نظرها بسیاری از شده سازی شبیه اسکریپت .هستند تماس درFTPرفتار واقعی
ثبت را مهاجم فرد فعالیتهای تمامی ،حال عین در و کردهمیک نیست برنامه یك از بیش چیزی اسکریپت این البته .کنده
می مهاجم از مشخص ورودی یك منتظرمی تولید را ای شده تعیین پیش از خروجی و ماندکاری مهاجم فرد اگر .کند
برخ خطا پیغام یك صرفا اسکریپت این ،باشد نشده ریزی برنامه آن برای شده سازی شبیه اسکریپت که دهد انجامواهد
گرداند.
Honeydبرای که است ویژگیهایی دارایHoneypotاین .نیست معمول کم تعامل با هایHoneypotشبیه تنها نه
پشته سطح در را عاملها سیستم بلکه ،دهد می انجام سرویسها رفتار تغییر وسیله به را عامل سیستم سازیIPسازی شبیه نیز
میروشها از مهاجم فرد یك اگر .کندفعال یfingerprintingاسکن امنیتی ابزارهای مانندNmapوXprobe
،کند استفادهHoneydپشته سطح درIPمی پاسخ شما به بخواهید که عاملی سیستم هر عنوان بهخالف بر عالوه به .دهد
اغلبHoneypot،کم تعامل با هایHoneydمیآدرس میلیونها تواندIPنماید کنترل را. Honeydبا را کار این
آدرسهای کردن کنترلIPاین که کامپیوترهاییHoneypotنمی انجام است شده نصب آنها رویتمامی بلکه ،دهد
آدرسهایIPمی کنترل را شما شبکه روی استفاده بالزمانیکه .کندHoneydاز یکی به اتصال برای را تالش یك
آدرسهایIPمی تشخیص استفاده بالتما آن ،دهدسپس و ،زده جا قربانی آن جای به را خود پویا طور به ،کرده قطع را س
می تعامل به مهاجم فرد باتعامل شانس توجهی قابل طور به قابلیت این .پردازدHoneydمی باال را مهاجم یك بابرد.
Honeypotزیاد تعامل با های
Honeypotبا زیاد تعامل با هایHoneypotکم تعامل با هایو عامل سیستم کل آنها که چرا ،دارند بسیاری تفاوت
آورند می فراهم مهاجمان با تعامل برای حقیقی طور به را ها برنامه. Honeypotسازی شبیه را چیزی زیاد تعامل با های
نمیهستند مهاجمان توسط نفوذ آماده که دارند واقعی هایی برنامه که هستند واقعی کامپیوترهایی بلکه ،کنند.مزایای
از دسته این از استفادهHoneypotاطالعات از زیادی حجم که اند شده طراحی این برای آنها .است توجه قابل بسیار ها
این .آورند دست به راHoneypotمی تنها نه هامی متصل سیستم یك به که را مهاجمانی توانندنمای شناسایی شوند،ند
می اجازه مهاجمان به بلکهکه دهندقادر شما نتیجه در .کنند پیدا دسترسی عامل سیستم به و کرده نفوذ سرویسها این به
9. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
9
بود خواهیدrootkitمی آپلود سیستمها این به که را مهاجمان این هایحالی در ،آورده دست به شوندبا مهاجمان که
ب زمانیکه و ،نموده تحلیل را آنها کلید ضربات هستند تعامل حال در سیستم اینهست ارتباط حال در مهاجمان سایر اآنها ند
می نتیجه در .کنید کنترل رابه مهاجمان این به راجع را ارزشمند اطالعات سایر و ،سازمان ،مهارت میزان ،حرکات توانید
آورید دست.
که آنجایی از همچنینHoneypotنمی انجام سازی شبیه زیاد تعامل با هایکه اند شده طراحی طوری ،دهندرفتارهای
از دسته این .کنند شناسایی را منتظره غیر یا ناشناخته ،جدیدHoneypotکشف قابلیت که اند کرده ثابت بارها و بارها ها
پروتکلهای از ،جدید فعالیتهایIPزدن تونل تا گرفته پنهانی دستورات کانالهای برای استفاده مورد استاندارد غیرIPv6
محیط درIPv4پنهان براینیز را آن بهای باید قابلیتها این آوردن دست به برای البته .هستند دارا را ارتباطات کردن
اوال .پرداختHoneypotواقعی عاملهای سیستم با مهاجمان که آنجایی از .دارند باالیی ریسك زیاد تعامل با های
می روبرواین ،شوندHoneypotمی هازدن ضربه و کردن حمله برای توانندکه سیستمهایی سایر بهHoneypot
ثانیا .گیرند قرار استفاده مورد نیستندHoneypotکه نیست سادگی همین به بار این .هستند پیچیده زیاد تعامل با های
یك آن از پس و کنید نصب افزار نرم یكHoneypotبا تعامل برای را واقعی سیستمهای باید شما بلکه .باشید داشته
مهاجماناز که مهاجمانی خطر کردن کم برای تالش با همچنین .نمایید تنظیم و ساختهHoneypotمی استفاده شما-
شد خواهد نیز بیشتر پیچیدگی این ،کنند.
از مثال دوHoneypotاز عبارتند زیاد تعامل با هایSymantec Decoy ServerوHoneynetارائه برای .ها
از بهتری دیدHoneypotبا هایتوضیح به ادامه در ،زیاد تعاملDecoy Serverپرداخت خواهیم.
از مثالیHoneypotزیاد تعامل با های: Symantec Decoy Server
Decoy ServerیكHoneypotتوسط که است تجاریSymantecمی فروش به و شده تولیدسیستم این .رسد
یك عنوان بهHoneypotسیست ،است زیاد تعامل با کهنمی سازی شبیه را سرویسها یا و عاملها مسی بلکه ،کندستمهای
می ایجاد مهاجمان با تعامل برقراری برای را حقیقی های برنامه و حقیقیحاضر حال در .کندDecoy Serverصرفا
عامل سیستم رویSolarisمی کارسیستم یك روی که است افزاری نرم ، برنامه این .کندSolarisمی نصبشو.د
10. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
10
چهار تا و گرفته اختیار در را موجود میزبان سیستم افزار نرم این سپس«قفس»می ایجاد یکتاق هر که ،کندیك فس
Honeypotمانند درست مهاجمان .داراست را خود به مخصوص فایل سیستم و جدا عامل سیستم یك قفس هر .است
می برقرار ارتباط قفسها این با واقعی عاملهای سیستمکنندنمی درك مهاجمان که چیزی .ف هر که است این کنندو عالیت
توسط آنها کلید صفحه ضربه هرHoneypotمی ضبط و ثبتشود.
Honeypotبا مقایسه در كم تعامل با هایHoneypotزیاد تعامل با های
انتخاب هنگام درHoneypotنی بهتر دیگری از نوع دو این از یك هیچ که باشید داشته توجهیك هر بلکه .ستنددارای
می بهتر کاری برای و بوده معایبی و مزایاباشند.
معایب و مزایاHoneypotو کم تعامل با هایHoneypotمی را زیاد تعامل با هایکرد بیان زیر شرح به توان:
Honeypotسرویسها و عاملها سیستم کننده سازی (شبیه کم تعامل با های)
کار به و سازی پیادهاست کامپیوتر یك روی افزار نرم یك نصب سادگی به معموال :آسان گیری
می مهاجمان که کارهایی شده سازی شبیه سرویسهای :کم ریسكنمی یا توانندمی کنترل را دهند انجام توانندکنند.
از دسته این در آنجاییکه از :محدود اطالعات آوری جمعHoneypotدر تعامل به مجاز مهاجمان هامحدودی حد
می نیز محدودی اطالعات ،هستندآورد بدست آنها به راجع توان.
Honeypotحقیقی سرویسهای و عاملها سیستم از استفاده با ،سازی شبیه (بدون زیاد تعامل با های)
می آنها گیری کار به و نصبترند ساده تجاری های (نسخه باشد سخت تواند)
مهاجم که موضوع این .باال ریسكمی روبرو واقعی عاملهای سیستم با انمی که شوندبپردازن تعامل به آن با توانندمزایا د
داراست را خود خاص معایب و.
11. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
11
از دلیل همین به و دارند متفاوتی اهداف ،مختلف سازمانهایHoneypotمی استفاده نیز مختلفی هایروال یك .کنند
مانند تجاری سازمانهای که است این معمول،ها کننده تولید و ،فروشان خرده ،بانکهاHoneypotرا کم تعامل با های
می ترجیح ،ساده نگهداری و ،آسان گیری کار به ،پایین ریسك علت بهاز استفاده .دهندHoneypotزیاد تعامل با های
مدیری و زیاد تعامل با حلهای راه فرد به منحصر قابلیتهای به که سازمانهایی میان در نیزدارند احتیاج ریسك تتر معمول
می سازمانها این جمله از .استکرد اشاره آموزشی و ،دولتی ،نظامی سازمانهای به توان.
های كاربردHoneypot
Honeypotزیاد تعامل با های
Honeypotمی که پذیرند انعطاف بسیار ابزارهایی هاگیرند.می قرار استفاده مورد مختلفی اهداف برای توانندتاز وانید
کلی طور به .کنید استفاده شماست نیازهای مناسب که نحوی هر به خود امنیتی مهمات انبار در ابزارهایی عنوان به آنها
میتوانHoneypotدسته دو در کاربردی ارزش لحاظ از را ها«تجاری»و«تحقیقاتی»معموال .کرد بندی دسته
Honeypotتج اهداف برای کم تعامل با هایمی قرار استفاده مورد اریدرحالیکه ،گیرندHoneypotتعامل با های
می استفاده تحقیقاتی مقاصد برای زیادانواع از یك هر حال هر به .شوندHoneypotمیاهداف از یك هر برای توانند
که زمانی .نیستند دیگری از برتر ،اهداف این از یك هیچ و گیرند قرار استفاده مورد فوقHoneypotاهداف برای ها
می قرار استفاده مورد تجاریمی ،گیرندتشخیص ،حمالت از جلوگیری :نمایند محافظت روش سه به سازمانها از توانند
می قرار استفاده مورد تحقیقاتی اهداف برای ه زمانیك اما .حمالت به پاسخگویی و ،حمالتجمع را اطالعات ،گیرند
می آوریارز اطالعات این .کنندبخواهند است ممکن سازمانها برخی .دارند گوناگون سازمانهای برای مختلفی های ش
مند عالقه زودهنگام های پیشگیری و هشدارها به دیگر برخی است ممکن حالیکه در ،کنند مطالعه را مهاجم راهکارهای
باشند.
12. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
12
حمالت از جلوگیری
Honeypotمی هاحمالت بروز از مختلف روشهای به توانندمثال برای .کنند جلوگیریHoneypotمی هااز توانند
می آغاز کرمها وسیله به که حمالتی مانند خودکار حمالتهستند ابزارهایی بر مبتنی حمالت این .نمایند پیشگیری شوند
می پذیر آسیب سیستمهای دنبال به و کرده اسکن را شبکه کل تصادفی صورت به کهسی این اگر .گردندپیدا ستمها،شوند
می دست به را آن کنترل و کرده حمله سیستم آن به خودکار ابزارهای اینگیرند.Honeypotپروسه کردن کند با ها
می کمك حمالتی چنین برابر در دفاع به آن توقف حتی و اسکناین .کنندHoneypotنام به که ها«Honeypot
چسبناك های»فضای ،معروفندIPکنترل را استفاده بدونمیاین که زمانی .کنندHoneypotاسکن فعالیت یك با ها
می روبرومی کند را مهاجم کار سرعت و کرده تعامل به شروع ،شوندترفندهای مختلف انواع با را کار این آنها .کنند
TCPمی انجام صفر اندازه با پنجره از استفاده ماننداز مثال یك .دهندHoneypot،چسبناك هایLa Brea Tar pit
است. Honeypotمی حتی .هستند کم تعامل با دسته از معموال چسبناك هایرا آنها توانHoneypotتعامل بدون
می متوقف و کند را مهاجم که چرا ،دانستسازند.
می شمااز استفاده با توانیدHoneypot.نمایید محافظت نیز خودکار غیر انسانی حمالت برابر در خود شبکه از هااین
می تلف را آنها منابع و زمان و کرده گیج را مهاجمان شما روش این در .است تهدید یا فریب بر مبتنی ایدهکنیطور به .د
فعالیت آن کردن متوقف و پاسخگویی برای نتیجه در و داده تشخیص را مهاجم فعالیت که است قادر شما سازمان همزمان
موضوع این .دارد اختیار در کافی زمانمی حتیاز شما سازمان که بدانند مهاجمان اگر .رود فراتر نیز گام یك تواند
Honeypotمی استفادهسیستمها کدام که ندانند ولی کندHoneypotکردن حمله از کلی طور به است ممکن ،هستند
صورت این در .کنند صرفنظر شما شبکه بهHoneypotرفت شمار به مهاجمان برای تهدید عامل یكنمونه یك .است ه
ازHoneypot،اند شده طراحی کار این برای که هاییDeception Toolkitاست.
حمالت تشخیص
13. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
13
که دیگر راه یكHoneypotمی محافظت شما سازمان از آن از استفاده با هاآنجایی از .است حمالت تشخیص ،کنند
می مشخص را امنیتی نقص یا و اشکال یك ،تشخیص کهحائز ،کندچه تا سازمان یك که این از صرفنظر .است اهمیت
و درگیرند امنیت پروسه در انسانی نیروی حداقل که چرا .دارند وجود امنیتی نقایص و اشکاالت همواره ،باشد امن اندازه
می شما ،حمالت تشخیص با .سازند دردسر همیشه انسانی خطاهایخرا و ،کرده پیدا دسترسی آنها به سرعت به توانیدبی
نمایید کم یا ساخته متوقف را آنها.
الگهای و نفوذ تشخیص سیستم سنسورهای مانند تکنولوژیهایی .است سختی بسیار کار تشخیص که است شده ثابت
تشخیص خطای درصد و کرده تولید زیادی بسیار های داده تکنولوژیها این .نیستند موثر چندان مختلف دالیل به ،سیستمها
آن نادرست مثبتنمی و نیستند جدید حمالت تشخیص به قادر تکنولوژیها این همچنین .باالست بسیارتمحیطهای در وانند
یا شده رمزIPv6معمول طور به .کنند کارHoneypotچرا .هستند تشخیص برای حل راه بهترین ،کم تعامل با های
این نگهداری و گرفتن کار به کهHoneypotمقا در و بوده تر ساده هابا یسهHoneypotریسك ،باال تعامل با های
دارند کمتری.
حمالت به پاسخگویی
Honeypotمی نیز حمالت به پاسخگویی با هاامنیتی مشکل یك سازمان یك که زمانی .کنند کمك سازمانها به توانند
می تشخیص رامی معموال مساله این دهد؟ پاسخ آن به باید چگونه ،دهدچالش از یکی تواندی مسائل برانگیزترینك
چقدر اینکه یا و ،اند آمده آنجا به چگونه ،هستند کسانی چه مهاجمان اینکه درباره کمی اطالعات معموال .باشد سازمان
حیاتی بسیار مهاجمان های فعالیت مورد در دقیق اطالعات داشتن ،شرایط این در .دارد وجود اند کرده ایجاد تخریب
پاسخگ با مساله دو .استاستفاده سوء مورد معموال که هایی سیستم از بسیاری اینکه اول .است شده آمیخته رویداد به ویی
می قرارنمی گیرندبه ،سازمان یك سرور میل مانند ،تجاری های سیستم .گردند خارج شبکه از شدن تحلیل برای توانند
ام متخصصان است ممکن ،شود هك سیستم این اگر حتی که هستند مهم حدیخارج شبکه از را سیستم نتوانند نیتکنند
تجاری سرویسهای هنوز که حالی در زنده سیستم تحلیل به مجبورند آنها ،کار این جای به .نمایند بحث آن تحلیل برای و
14. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
14
می ارائه رامی باعث موضوع این .بپردازند ،کندتشخیص و ،آمده بار به خسارت میزان ،داده رخ که اتفاقی تحلیل که شود
باشد سخت دیگر های سیستم به مهاجم نفوذ.
اینکه تشخیص که دارد وجود داده آلودگی حدی به ،گردد خارج شبکه از سیستم اگر حتی که است این دیگر مشکل
فعالیت مورد در زیاد بسیار های داده ،داده آلودگی از منظور .است سخت بسیار است داده انجام کاری چه مهاجم فرد
گوناگون(م های)قبیل این از مسائلی و ،داده پایگاه در شده نوشته فایلهای ،ایمیل حسابهای خواندن ،کاربران ورود انند
می باعث که استباشد سخت مهاجم فرد فعالیتهای از روزانه معمول های فعالیت تشخیص شود.
Honeypotمی آنها .دارند حل راه مشکالت این دوی هر برای هاسهو و سرعت به توانندتا گردند خارج شبکه از لت
های فعالیت فقط ها سیستم این که آنجایی از همچنین .گیرد انجام روزانه کارهای بر تاثیر بدون کامل تحلیل یك
می ثبت را نشده تایید یا خرابکارانهشون بررسی باید کمتری بسیار های داده و بود خواهد تر ساده بسیار تحلیل کار ،کنند.د
ارزشHoneypotتا دهند قرار سازمان اختیار در را پرفایده و عمیق اطالعات سرعت به قادرند آنها که است این به ها
دهد پاسخ رویداد یك به بتواند. Honeypotپاسخگویی برای .است پاسخگویی برای گزینه بهترین باال تعامل با های
انجام آنها که کاری مورد در عمیقی دانش باید شما ،نفوذگران بهداشته آنها استفاده مورد ابزارهای و ،نفوذ شیوه ،اند داده
به احتیاج شما ،ها داده نوع این آوردن دست به برای .باشیدHoneypotدارید باال تعامل با های.
از استفادهHoneypotتحقیقاتی مقاصد برای ها
،شد اشاره این از پیش که همانطورHoneypotمی هاتح مقاصد برای تواننداین به .گیرند قرار استفاده مورد نیز قیقاتی
آن آوری جمع به قادر کمتر دیگر تکنولوژیهای که آید می دست به تهدیدات مورد در ارزشمندی اطالعات ترتیب
زمانی .است مجازی حمالت مورد در آگاهی یا اطالعات کمبود ،امنیت متخصصان مشکالت بزرگترین از یکی .هستند
ن را دشمن شما کهمیمی چگونه ،شناسیددهید؟ تشکیل دفاعی دیوار او برابر در خواهیدHoneypotاین تحقیقاتی های
می حل تهدیدات مورد در اطالعاتی آوری جمع با را مشکلمی سازمانها سپس .کنندمقاصد برای اطالعات این از توانند
15. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
15
مه شناسایی ،جدید روشهای و ابزارها شناسایی ،تحلیل مانند مختلفی،جلوگیری و اولیه هشدارهای ،آنها جوامع و اجمان
کنند استفاده مهاجمان های انگیزه درك یا و.
در اطالعات آوری جمع های مکانیزمHoneypot
قرار هکرها و مهاجمان استفاده سوء مورد که است شده طراحی منظور این به صرفا که سیستمی در اطالعات آوری جمع
صورتی به باید ،گیردفعالیت جدی تحلیل اینکه بر عالوه که باشدمی ممکن را هاهک کار مزاحم حال عین در ،سازدرها
از که هایی شبکه در .نگردد نیزHoneypotبهمنظومی استفاده تهدیدات و حمالت تحلیل و تشخیص رداده ،کنندها
میخود معایب و مزایا هریك که شوند آوری جمع مختلف نقطه سه در توانندمکانیزم سه ،اساس این بر .داراست را
در اطالعات آوری جمع برای مختلفHoneypotهاتعریفمیشود:
1-مبتنیبرمیزبان
می آوری جمع است گرفته قرار استفاده سوء مورد که میزبانی روی بر که هایی دادهر پتانسیل بیشترین ،شوندثبت برای ا
دستورات ،خروجی و ورودی ارتباطاتدارا اجرا حال در های پردازه و ،دستور خط طریق از میزبان روی بر شده وارد
الگ دنبال به معموال نفوذگر فرد که چرا .دارد همراه به نیز را خطر بیشترین روش این متاسفانه .هستندو هاابزارهای یا
می امنیتیمی سعی و گرددرا خود حضور بتواند تا نماید غیرفعال را آنها کندد آوری جمع ،ترتیب این به .کند پنهاناده
می هامغشوش کامال را آمده دست به نتایج که طوری به ،گردد تغییر دستخوش یا و شده متوقف هکر فرد توسط تواند
مثال عنوان به .نمایدیك روی بر فعالیت ثبت برای استفاده مورد ابزارهای از هاییHoneypotمیتوانبهمواردزیر
اشارهکرد:
الگ)است نفوذگر یك هدف اولین نوعا (که عامل سیستم سیستمی های
سیستممانند بسته آوری جمع قابلیت با نفوذ تشخیص هایSnort
مانند ها بسته تحلیل و آوری جمع ابزارهایEthernal
16. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
16
2-مبتنیبرشبکه
امن حل راه یكاین ها داده آوری جمع برای تر پیچیده حال عین در و ترکه استHoneypotصورت به را ها داده ،
می اجازه ما به حل راه این .نماید ارسال دیگر سرور یك برای بیشتر تحلیل برای و کرده آوری جمع پنهانیدهداده که د
توسط شده آوری جمع هایHoneypotدر سرور این که است این بر فرض .کنیم آرشیو دیگری سیستم روی بر را
مهاج حمالت برابربیرون به اطالعات جریان متوجه نفوذگر فرد است ممکن که چرا ،است شده ایمن مان
ازHoneypotابزارهایی از استفاده با .نماید متوقف را اطالعات ارسال و آوری جمع مکانیزم کند سعی و شده
مانندSebekمی ،روی بر را داده آوری جمع سرویس توانیمHoneypotها داده و کنیم پنهانیك طریق از را
ارتباطUDP.نماییم ذخیره آن روی بر و کرده ارسال دیگر سرور یك بهSebekو کرده ضبط را نفوذگر فرد فعالیت
می ارسال اینترنت روی بر جایی هر در سرور یك یا شبکه داخل در سرور یك به را آن پنهانی صورت بها .کندموضوع ین
.است شده داده نمایش زیر شکل در
از استفاده با شبکه بر مبتنی اطالعات آوری جمعSebek
17. سپنتا داده ایمن شرکتدهنده ارائهطراحی و شبکه ،امنیت خدمات انواعسایت
www.idsco.ir
17
3-( دروازه /مسیریاب بر مبتنیgateway)
سطح در ها داده آوری جمع برای استفاده مورد معمول روش آخرینgatewayاز .است شبکه فایروال یا مسیریاب ،
یك آنجاییکهgatewayمیزبان بین را ها داده تمامیو شبکه یك هایمی منتقل اینترنتم برای را فرصت این ،کندا
می ایجادبه اینترنت از که را هایی داده و ارتباطات تمامی ،طریق این از که کندHoneypotمی منتقل ما های،شوند
حل راه به نسبت بیشتری خطر دارای مساله این .نماییم ثبتSebekاست.چراکهیكgatewayشبکه در معموال
پنهانمی تبدیل مهاجمان حمالت هدف به نیز خود نتیجه در و نیستاف سخت به وابسته بیشتر روش این ،عالوه به .شودزار
یك نقش در که دارید احتیاج سروری به شما که چرا ،استgatewayبسیاری ،حال عین در .کند عمل
ازgatewayمی طراحی خانگی یا کوچك مقیاس در که هاییقابلیت ،شوندهاندارند اطالعات ثبت برای ای عمده ی
نمی و.گیرند قرار استفاده مورد نقش این در توانند
تکنیك بدونسیستم از شده آوری جمع اطالعات اعتبار ،داده آوری جمع قوی هاییابد می کاهش شدت به میزبان های
اعتبار ،است مهاجمان شناخت اطالعات این اصلی اهداف از یکی آنجاییکه از وزیادی بسیار اهمیت از نیز اطالعات این
.است برخوردار