Honeytrap (Software)

Honeytrap (Software)

Honeytrap ist ein Open-Source-Netzwerk-Sicherheitstool, das nach dem Low-Interaction-Honeypot-Prinzip Angriffe auf Schwachstellen protokolliert. Jedoch emuliert Honeytrap keine bekannten Schwachstellen, sondern untersucht den Netzwerkverkehr entweder mit einem PCAP-Sniffer, mittels ip_queue-API, oder netfilter_queue, um auf unbekannte Attacken reagieren zu können.

Inhaltsverzeichnis

Methodik

Nach einer eingehenden Verbindungsanfrage startet dynamisch ein Listener für den entsprechenden Port, um die Anfragen verarbeiten zu können. Dieses generische Verhalten ermöglicht es Honeytrap, auf die meisten Netzwerkangriffe zu reagieren.

Alle gesammelten Daten werden mittels Plug-ins analysiert. Diese werden beim Programmstart, aber auch dynamisch geladen. Dadurch kann der Honeypot ohne Auszeit erweitert werden. Da Angriffe gelegentlich nicht ohne Antwort vom Host weiterlaufen, wurde ein rudimentärer Katalog mit Antworten implementiert, der beliebig erweitert werden kann.

Eingehende Verbindungen können in vier verschiedenen Modi behandelt werden. Im Normal Mode wird ein Protokoll über den Angriff angelegt, im Ignore Mode bleibt Honeytrap inaktiv, der Proxy Mode erlaubt das Weiterleiten von Verbindungen, und im Mirror Mode können Attacken zum Angreifer zurückgespiegelt werden. Durch das Spiegeln ist das Emulieren von Schwachstellen nicht mehr notwendig, da viele Angreifer eben jene selbst besitzen und somit ein vollständiger Dialog zustande kommt. Das Verhalten für Ports kann individuell konfiguriert werden. Honeytrap eignet sich durch den Proxy-Modus auch als Meta-Honeypot.

Aufbau

Meist erfolgt ein Angriff über mehrere Ebenen: Nach dem erfolgreichen Exploiten des Ziels werden Daten aus dem Internet nachgeladen, die dann eine Hintertür für den Angreifer öffnen. Diesem Ablauf passt sich Honeytrap durch seine modulare Struktur an:

  • Ein Grundgerüst zum Speichern des Angriffsablauf und der gesammelten Daten für externe Untersuchungen.
  • Ein Parser für FTP-Download-Befehle. Geladene Dateien werden auf der Festplatte gespeichert.
  • Ein Parser für TFTP-Download-Befehle mit demselben Ziel wie beim FTP.
  • Ein Parser für HTTP-URLs für Angriffe gegen verletzliche VNC-Server. Mit Hilfe von wget werden auch hier Daten heruntergeladen.
  • Mit Base64 codierte Exploits werden von einem weiteren Plug-in entschlüsselt, um folgende Analysen zu ermöglichen.
  • Ein Modul um neue Angriffe aufgrund von Heuristik und Ähnlichkeit zu identifizieren.

Ziel

Honeytrap wird als Daemon betrieben und ermöglicht unter anderem das Sammeln von Malware, Viren und Trojanern. Diese werden hauptsächlich verteilt, um Botnetzwerke aufzubauen.

Durch deren Analyse kann ein tieferer Einblick in ihre Funktionsweise gewonnen werden, wodurch das Erstellen von Schutzmaßnahmen vereinfacht wird.

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • LaBrea — Als ein Honigtopf oder auch englisch Honeypot (früher auch Iron Box genannt) wird in der Computersicherheit ein Computerprogramm oder ein Server bezeichnet, das Netzwerkdienste eines Computers oder eines ganzen Rechnernetzes simuliert. Honeypots… …   Deutsch Wikipedia

  • Honeypot — Als Honigtopf oder auch englisch Honeypot wird eine Einrichtung bezeichnet, die einen Angreifer oder Feind vom eigentlichen Ziel ablenken soll oder die Personen in einen Bereich hineinziehen soll, der sie sonst nicht interessiert hätte. Der… …   Deutsch Wikipedia

  • Honeypot (computing) — In computer terminology, a honeypot is a trap set to detect, deflect, or in some manner counteract attempts at unauthorized use of information systems. Generally it consists of a computer, data, or a network site that appears to be part of a… …   Wikipedia

  • List of The Real Hustle episodes — This is an episode list for The Real Hustle. All dates are the first broadcast on BBC Three in the United Kingdom. Contents 1 Series 1 2 Series 2 3 Series 3 4 Series 4 …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”