ハニーポットは、その展開(使用/動作)に基づいて、またその関与の度合いに基づいて分類することができます。 配置に基づいて、ハニーポットは次のように分類できます。
- 本番用ハニーポット
- 研究用ハニーポット
本番用ハニーポットは使いやすく、限られた情報しか取得できないため、主に企業で利用されています。 本番用ハニーポットは、組織が全体的なセキュリティ状態を向上させるために、他の本番用サーバーとともに本番ネットワーク内に設置されます。 通常、プロダクション・ハニーポットは、低インタラクション・ハニーポットであり、導入が容易である。
研究用のハニーポットは、さまざまなネットワークを標的とするブラックハット コミュニティの動機や戦術に関する情報を収集するために実行されます。 これらのハニーポットは、特定の組織に直接的な価値を与えるものではなく、組織が直面する脅威を調査し、それらの脅威からよりよく保護する方法を学ぶために使用されます。
設計基準に基づいて、ハニーポットは次のように分類されます。
- 純粋なハニーポット
- 高インタラクションのハニーポット
- 低インタラクションのハニーポット
純粋なハニーポットは、本格的な生産システムです。 ハニーポットのネットワークへのリンクにインストールされたバグタップを使って、攻撃者の活動を監視します。 他のソフトウェアをインストールする必要はありません。
高インタラクション ハニーポットは、さまざまなサービスをホストする本番システムの活動を模倣しているため、攻撃者は多くのサービスを利用して時間を浪費することができます。 仮想マシンを採用することで、1台の物理マシン上に複数のハニーポットをホストすることができます。 そのため、仮にハニーポットが侵害されたとしても、より迅速に復旧させることができます。 一般的に、高インタラクションのハニーポットは、検知されにくいことでより高いセキュリティを実現しますが、その分、維持費がかかります。 仮想マシンが利用できない場合、ハニーポットごとに1台の物理的なコンピュータを維持しなければならず、法外なコストがかかります。 例 ハニーネット
低インタラクションのハニーポットは、攻撃者が頻繁に要求するサービスのみをシミュレートしています。 比較的少ないリソースしか消費しないため、1つの物理システム上で複数の仮想マシンを容易にホストすることができ、仮想システムの応答時間が短く、必要なコードも少ないため、仮想システムのセキュリティの複雑さを軽減することができます。 例 Honeyd.
ディセプションテクノロジー
近年、基本的なハニーポット技術にスケールアップのための高度な自動化を加えた「ディセプションテクノロジー」という新しい市場が登場しています。
マルウェア ハニーポット デセプション テクノロジーは、大規模な商業企業や政府機関におけるハニーポット リソースの自動展開に対応しています。 USBメモリのような複製ベクターは、手動で、またはUSBメモリをエミュレートする特別な目的のハニーポットを利用して、変更の証拠を簡単に確認することができます。
Spam versionsEdit
スパマーは、オープンメールリレーやオープンプロキシといった脆弱なリソースを悪用します。 これらのサーバーは、インターネット上の誰からの電子メールであっても、スパマーを含む誰からの電子メールであっても、それを受け入れて目的地に送信するサーバーです。
このようなハニーポットが管理者に提供する機能はいくつかありますが、このような偽の悪用可能なシステムが存在することで、悪用がより困難になったり、危険になったりします。
このようなハニーポットは、不正使用者のIPアドレスを明らかにしたり、バルク スパム キャプチャ (オペレータがスパマーのURLや応答メカニズムを判断することができる) を提供したりすることができます。 ITPRo TodayのM. Edwards氏による説明:
典型的には、スパマーは、単に自分自身に電子メール メッセージを送信することによって、メール サーバーがオープン リレーを行うかどうかをテストします。 スパマーがメールメッセージを受信すれば、そのメールサーバーは明らかにオープンリレーを許可しています。 しかし、ハニーポットのオペレーターは、リレーテストを利用してスパマーを阻止することができます。 ハニーポットは、リレーテスト用の電子メールメッセージをキャッチし、テスト用の電子メールメッセージを返し、その後、そのスパマーからの他のすべての電子メールメッセージをブロックします。 スパマーはスパム対策用のハニーポットを利用し続けますが、スパムが配信されることはありません。 一方、ハニーポット運営者は、スパマーのISPに通知して、そのインターネットアカウントをキャンセルさせることができる。
明らかなソースは、別の悪用されたシステムかもしれません。
このこと自体が、アンチ スパム ツールとしてのハニーポットの力を示しています。 スパム対策用のハニーポットが登場した初期の頃、スパマーは自分の居場所を隠すことにあまり関心がなく、安心して脆弱性をテストしたり、自分のシステムから直接スパムを送信したりしていました。
スパムは依然としてオープンリレーを経由して流れていますが、その量は2001-02年に比べてはるかに少なくなっています。 スパムのほとんどは米国内で発生していますが、スパマーはその発生源を隠すために、政治的な境界を越えてオープンリレーを経由しています。 ハニーポット運営者は、インターセプトされたリレーテストを利用して、スパムをハニーポット経由でリレーしようとする試みを認識し、阻止することができます。 “阻止 “とは、”中継スパムを受け入れるが、配信を拒否する “ことを意味します。
オープンなリレーハニーポットには、Jack CleaverによってJavaで書かれたJackpot、Karl A. P. によってPythonで書かれたsmtpot.
Email trapEdit
スパムを受信する以外の目的で使用されていないメールアドレスは、スパムハニーポットと考えることもできます。 スパムトラップ」という言葉と比べると、「ハニーポット」という言葉は、プローブの検出や反撃に使われるシステムや技術に適しているかもしれません。
これらの技術を統合したものとして、世界中のWebサイトに設置されたハニーポットページを利用する分散型オープンソースプロジェクト「Project Honey Pot」があります。
データベース ハニーポット エディット データベース ハニーポット エディット SQLインジェクション データベースは、しばしば侵入者によってSQLインジェクションを使用して攻撃されます。 このような行為は基本的なファイアウォールでは認識されないため、企業は保護のためにデータベース ファイアウォールを使用することがよくあります。 利用可能な SQL データベース ファイアウォールの中には、ハニーポット アーキテクチャを提供/サポートしているものもあり、ウェブ アプリケーションが機能している間に、侵入者がトラップ データベースに対して実行されるようになっています。