Honeypot — система-ловушка, которая выглядит как уязвимый или ценный ресурс, но на деле является инструментом безопасности. Все взаимодействия с honeypot логируются и анализируются. Поскольку легитимные пользователи не должны знать о существовании honeypot, любое обращение к нему — индикатор компрометации или разведки.
Типы honeypot
- Low-interaction — имитация отдельного сервиса (SSH, telnet, HTTP). Безопасен, легко развернуть. Пример: HoneyD, Kippo.
- High-interaction — реальная уязвимая система (виртуальная машина). Собирает больше данных, но опаснее.
- Research honeypot — для изучения техник атак. Требует изоляции.
- Production honeypot — защита реальной инфраструктуры. Разворачивается рядом с продакшн-серверами.
SSH Honeypot с fail2ban
Популярная практика: переместить SSH на нестандартный порт (например, 2222), а порт 22 оставить как honeypot. Каждая попытка подключения на порт 22 — брутфорс-атака, IP автоматически добавляется в ban-list:
# Логировать попытки подключения на порт 22
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH_HONEYPOT: "
iptables -A INPUT -p tcp --dport 22 -j DROPHoney Credentials
Canary tokens — «медовые» учётные данные (пароли, API-ключи), которые никогда не должны использоваться. Если they are used — значит, была утечка данных. Сервис: canarytokens.org.
История
Термин «honeypot» в контексте безопасности появился в книге Клиффорда Столла «Кукушкино яйцо» (1989). Clifford Stoll использовал honeypot для отслеживания хакеров, работавших на КГБ. Первый honeypot-фреймворк HoneyD создан Нилсом Провосом в 2002 году. The Honeynet Project основан в 1999 году.
Связь с хостингом
На VDS honeypot-техники помогают обнаружить атаки раньше, чем они достигнут реальных сервисов. Перенос SSH на нестандартный порт + логирование попыток на порт 22 — простой honeypot. fail2ban интегрируется с iptables для автоматической блокировки атакующих IP.
История Honeypot
Первый описанный honeypot создан Клиффом Столлом в 1987 году для поимки хакера, взломавшего системы LBL (Lawrence Berkeley Laboratory). Книга «Кукушкино яйцо» (1989) описывает этот случай. Термин «honeypot» популяризирован Лэнс Спицнером в книге «Honeypots: Tracking Hackers» (2002). Honeynet Project основан в 1999 году для изучения техник атакующих. Kippo (SSH honeypot) появился в 2009 году, Cowrie (форк) — в 2015 году.
Типы Honeypot
| Тип | Сложность | Цель |
|---|---|---|
| Low-interaction | низкая | выявление сканирования |
| Medium-interaction | средняя | эмуляция сервиса |
| High-interaction | высокая | изучение техник атак |
| Honeynet | очень высокая | исследования, разведка |
Практическое применение Honeypot на хостинге
На VPS простейший honeypot — открытый порт 23 (Telnet) с логированием: любое подключение сигнализирует о сканировании. Fail2ban + honeypot-порты автоматически блокируют сканеры. SSH honeypot Cowrie регистрирует все попытки входа, показывая реальные брутфорс-пароли злоумышленников. Для алертинга используйте интеграцию с Zabbix или Telegram.
Типичные ошибки
- Honeypot в той же подсети что и продакшн — атакующий может «перепрыгнуть» на реальные системы.
- Не настроены оповещения — honeypot логирует, но никто не смотрит.
- Высокоинтерактивный honeypot без мониторинга — сам может стать плацдармом для атак.