
پیش از این در سه مقاله «Honeypot چیست؟»، «انواع Honeypot» و «كاربردهای Honeypot ها»، به معرفی اجمالی Honeypot ها و كاربردهای این سیستمها پرداختیم. در این مقاله مكانیزمهای مختلف جمع آوری اطلاعات در Honeypot ها را مورد بررسی قرار خواهیم داد.
جمع آوری اطلاعات در سیستمی كه صرفا به این منظور طراحی شده است كه مورد سوء استفاده مهاجمان و هكرها قرار گیرد، باید به صورتی باشد كه علاوه بر اینكه تحلیل جدی فعالیتها را ممكن میسازد، در عین حال مزاحم كار هكرها نیز نگردد. در شبكه هایی كه از Honeypot به منظور تشخیص و تحلیل حملات و تهدیدات استفاده میكنند، دادهها میتوانند در سه نقطه مختلف جمع آوری شوند كه هریك مزایا و معایب خود را داراست. بر این اساس، سه مكانیزم مختلف برای جمع آوری اطلاعات در Honeypot ها تعریف میشود:
1- مبتنی بر میزبان
داده هایی كه بر روی میزبانی كه مورد سوء استفاده قرار گرفته است جمع آوری میشوند، بیشترین پتانسیل را برای ثبت ارتباطات ورودی و خروجی، دستورات وارد شده بر روی میزبان از طریق خط دستور، و پردازه های در حال اجرا دارا هستند. متاسفانه این روش بیشترین خطر را نیز به همراه دارد. چرا كه فرد نفوذگر معمولا به دنبال لاگها و یا ابزارهای امنیتی میگردد و سعی میكند آنها را غیرفعال نماید تا بتواند حضور خود را پنهان كند. به این ترتیب، جمع آوری داده ها میتواند توسط فرد هكر متوقف شده و یا دستخوش تغییر گردد، به طوری كه نتایج به دست آمده را كاملا مغشوش نماید. به عنوان مثالهایی از ابزارهای مورد استفاده برای ثبت فعالیت بر روی یك Honeypot میتوان به موارد زیر اشاره كرد:
- لاگهای سیستمی سیستم عامل (كه نوعا اولین هدف یك نفوذگر است)
- سیستمهای تشخیص نفوذ با قابلیت جمع آوری بسته مانند Snort
- ابزارهای جمع آوری و تحلیل بسته ها مانند Ethernal
3- مبتنی بر مسیریاب/ دروازه (gateway)