https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Honeytrap_%28Software%29Honeytrap (Software) - Versionsgeschichte2026-06-11T22:23:56ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Honeytrap_(Software)&diff=1391091&oldid=previmported>Wruedt: Abschnittlink korrigiert2020-08-07T16:06:50Z<p>Abschnittlink korrigiert</p>
<p><b>Neue Seite</b></p><div>'''Honeytrap''' ist ein Open-Source-[[Netzwerksicherheit|Netzwerk-Sicherheitstool]], das nach dem [[Honeypot#Typen|Low-Interaction-Honeypot]]-Prinzip Angriffe auf [[Sicherheitslücke (Software)|Schwachstellen]] protokolliert. Jedoch [[Emulator|emuliert]] Honeytrap keine bekannten Schwachstellen, sondern untersucht den [[Datenstrom|Netzwerkverkehr]] entweder mit einem [[pcap]]-[[Sniffer]], mittels [[Libipq|ip_queue]]-API, oder [[Netfilter|netfilter_queue]], um auf unbekannte Attacken reagieren zu können.<br />
<br />
== Methodik ==<br />
Nach einer eingehenden Verbindungsanfrage startet dynamisch ein [[Listener]] für den entsprechenden [[Port (Protokoll)|Port]], um die Anfragen verarbeiten zu können. Dieses generische Verhalten ermöglicht es Honeytrap, auf die meisten Netzwerkangriffe zu reagieren.<br />
<br />
Alle gesammelten Daten werden mittels [[Plug-in]]s analysiert. Diese werden beim Programmstart, aber auch dynamisch geladen. Dadurch kann der Honeypot ohne Auszeit erweitert werden.<br />
Da Angriffe gelegentlich nicht ohne Antwort vom [[Host (Informationstechnik)|Host]] weiterlaufen, wurde ein rudimentärer Katalog mit Antworten implementiert, der beliebig erweitert werden kann.<br />
<br />
Eingehende Verbindungen können in vier verschiedenen Modi behandelt werden. Im ''Normal Mode'' wird ein Protokoll über den Angriff angelegt, im ''Ignore Mode'' bleibt Honeytrap inaktiv, der ''Proxy Mode'' erlaubt das Weiterleiten von Verbindungen, und im ''Mirror Mode'' können Attacken zum Angreifer zurückgespiegelt werden. Durch das Spiegeln ist das Emulieren von Schwachstellen nicht mehr notwendig, da viele Angreifer eben jene selbst besitzen und somit ein vollständiger Dialog zustande kommt. Das Verhalten für Ports kann individuell konfiguriert werden.<br />
Honeytrap eignet sich durch den [[Proxy (Rechnernetz)|Proxy]]-Modus auch als Meta-Honeypot.<br />
<br />
== Aufbau ==<br />
Meist erfolgt ein Angriff über mehrere Ebenen: Nach dem erfolgreichen [[Exploit]]en des Ziels werden Daten aus dem Internet nachgeladen, die dann eine [[Backdoor|Hintertür]] für den Angreifer öffnen. Diesem Ablauf passt sich Honeytrap durch seine modulare Struktur an:<br />
<br />
* Ein Grundgerüst zum Speichern des Angriffsablauf und der gesammelten Daten für externe Untersuchungen.<br />
* Ein [[Parser]] für [[File Transfer Protocol|FTP]]-Download-Befehle. Geladene Dateien werden auf der Festplatte gespeichert.<br />
* Ein Parser für [[Trivial File Transfer Protocol|TFTP]]-Download-Befehle mit demselben Ziel wie beim FTP.<br />
* Ein Parser für [[Hypertext Transfer Protocol|HTTP]]-[[Uniform Resource Locator|URLs]] für Angriffe gegen verletzliche [[Virtual Network Computing|VNC]]-Server. Mit Hilfe von [[wget]] werden auch hier Daten heruntergeladen.<br />
* Mit [[Base64]] codierte Exploits werden von einem weiteren Plug-in entschlüsselt, um folgende Analysen zu ermöglichen.<br />
* Ein Modul um neue Angriffe aufgrund von [[Heuristik]] und Ähnlichkeit zu identifizieren.<br />
<br />
== Ziel ==<br />
Honeytrap wird als [[Daemon]] betrieben und ermöglicht unter anderem das Sammeln von [[Malware]], [[Computervirus|Viren]] und [[Trojanisches Pferd (Computerprogramm)|Trojanern]]. Diese werden hauptsächlich verteilt, um [[Botnet]]s aufzubauen. <br />
<br />
Durch deren Analyse kann ein tieferer Einblick in ihre Funktionsweise gewonnen werden, wodurch das Erstellen von Schutzmaßnahmen vereinfacht wird.<br />
<br />
== Weblinks ==<br />
* [https://github.com/tillmannw/honeytrap Honeytrap auf github.com]<br />
<br />
[[Kategorie:Freie Sicherheitssoftware]]<br />
[[Kategorie:IT-Sicherheit]]</div>imported>Wruedt