Honeypot ها

قدم اول در فهم اینکه Honeypot چه می باشند بیان تعریفی جامع از آن است تعریف Honeypot می تواند سخت تر از آنچه که به نظر می رسد باشد Honeypot ها از این جهت که هیچ مشکلی را برای ما حل نمی کنند شبیه دیواره های آتش و یا سیستمهای تشخیص دخول سرزده نمی باشند

● تعریف

قدم اول در فهم اینکه Honeypot چه می باشند بیان تعریفی جامع از آن است. تعریف Honeypot می تواند سخت تر از آنچه که به نظر می رسد باشد. Honeypot ها از این جهت که هیچ مشکلی را برای ما حل نمی کنند شبیه دیواره های آتش و یا سیستمهای تشخیص دخول سرزده نمی باشند. در عوض آنها یک ابزار قابل انعطافی می باشند که به شکلهای مختلفی قابل استفاده هستند.آنها هر کاری را می توانند انجام دهند از کشف حملات پنهانی در شبکه های IPv۶ تا ضبط آخرین کارت اعتباری جعل شده! و همین انعطاف پذیریها باعث شده است که Honeypot ها ابزارهایی قوی به نظر برسند و از جهتی نیز غیر قابل تعریف و غیر قابل فهم!!

البته من برای فهم Honeypot ها از تعریف زیر استفاده می کنم:

یک Honeypot یک منبع سیستم اطلاعاتی می باشد که با استفاده از ارزش کاذب خود اطلاعاتی از فعالیتهای بی مجوز و نا مشروع جمع آوری می کند.

البته این یک تعریف کلی می باشد که تمامی گونه های مختلف Honeypot ها را در نظر گرفته است. ما در ادامه مثالهای مختلفی برای Honeypot ها و ارزش امنیتی آنها خواهیم آورد. همه آنها در تعریفی که ما در بالا آورده ایم می گنجند ، ارزش دروغین آنها برای اشخاص بدی که با آنها در تماسند. به صورت کلی تمامی Honeypot ها به همین صورت کار می کنند. آنها یک منبعی از فعالیتها بدون مجوز می باشند. به صورت تئوری یک Honeypot نباید هیچ ترافیکی از شبکه ما را اشغال کند زیرا آنها هیچ فعالیت قانونی ندارند. این بدان معنی است که تراکنش های با یک Honeypot تقریبا تراکنش های بی مجوز و یا فعالیتهای بد اندیشانه می باشد. یعنی هر ارتباط با یک Honeypot می تواند یک دزدی ، حمله و یا یک تصفیه حساب می باشد. حال آنکه مفهوم آن ساده به نظر می رسد ( و همین طور هم است) و همین سادگی باعث این هم موارد استفاده شگفت انگیز از Honeypot ها شده است که من در این مقاله قصد روشن کردن این موارد را دارم.

● فواید Honeypot ها

Honeypot مفهوم بسیار ساده ای دارد ولی دارای توانایی های قدرتمندی می باشد.

۱) داده های کوچک دارای ارزش فراوان: Honeypot ها یک حجم کوچکی ار داده ها را جمع آوری می کنند. به جای اینکه ما در یک روز چندین گیگابایت اطلاعات را در فایلهای ثبت رویدادها ذخیره کنیم توسط Honeypot فقط در حد چندین مگابایت باید ذخیره کنیم. به جای تولید ۱۰۰۰۰ زنگ خطر در یک روز آنها فقط ۱ زنگ خطر را تولید می کنند. یادتان باشد که Honeypot ها فقط فعالیتهای ناجور را ثبت می کنند و هر ارتباطی با Honeypot می تواند یک فعالیت بدون مجوز و یا بداندیشانه باشد. و به همین دلیل می باشد که اطلاعات هر چند کوچک Honeypot ها دارای ارزش زیادی می باشد زیرا که آنها توسط افراد بد ذات تولید شده و توسط Honeypot ضبط شده است. این بدان معنا می باشد که تجزیه و تحلیل اطلاعات یک Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت کلی می باشد.

۲) ابزار و تاکتیکی جدید : Honeypot برای این طراحی شده اند که هر چیزی که به سمت آنها جذب می شود را ذخیره کنند. با ابزارها و تاکتیکهای جدیدی که قبلا دیده نشده اند.

۳) کمترین احتیاجات: Honeypot ها به کمترین احتیاجات نیاز دارند زیرا که آنها فقط فعالیتهای ناجور را به ثبت می رسانند. بنابراین با یک پنتیوم قدیمی و با ۱۲۸ مگابایت RAM و یک شبکه با رنج B به راحتی می توان آن را پیاده سازی کرد.

۴) رمز کردن یا IPv۶ : بر خلاف برخی تکنولوژیهای امنیتی (مانند IDS ها ) Honeypot خیلی خوب با محیطهای رمز شده و یا IPv۶ کار می کنند. این مساله مهم نیست که یک فرد ناجور چگونه در یک Honeypot گرفتار می شود زیرا Honeypot ها خود می توانند آنها را شناخته و فعالیتهای آنان را ثبت کنند.

● مضرات Honeypot ها

شبیه تمامی تکنولوژیها ، Honeypot ها نیز دارای نقاط ضعفی می باشند. این بدان علت می باشد که Honeypot ها جایگزین تکنولوژی دیگری نمی شوند بلکه در کنار تکنولوژیهای دیگر کار می کنند.

۱) محدودیت دید : Honeypot ها فقط فعایتهایی را می توانند پیگیری و ثبت کنند که به صورت مستقیم با آنها در ارتباط باشند. Honeypot حملاتی که بر علیه سیستمهای دیگر در حال انجام است را نمی توانند ثبت کنند به جز اینکه نفوذگر و یا آن تهدید فعل و انفعالی را با Honeypot داشته باشد.

۲) ریسک : همه تکنولوژیهای امنیتی دارای ریسک می باشند. دیوارهای آتش ریسک نفوذ و یا رخنه کردن در آن را دارند. رمزنگاری ریسک شکستن رمز را دارد، IDS ها ممکن است نتوانند یک حمله را تشخیص دهند. Honeypot ها مجزای از اینها نیستند. آنها نیز دارای ریسک می باشند. به خصوص اینکه Honeypot ها ممکن است که ریسک به دست گرفتن کنترل سیستم توسط یک فرد هکر و صدمه زدن به سیستمهای دیگر را داشته باشند. البته این ریسکها برای انواع مختلف Honeypot ها فرق می کند و بسته به اینکه چه نوعی از Honeypot را استفاده می کنید نوع و اندازه ریسک شما نیز متفاوت می باشد.ممکن است استفاده از یک نوع آن ، ریسکی کمتر از IDS ها داشته باشد و استفاده از نوعی دیگر ریسک بسیار زیادی را در پی داشته باشد.ما در ادامه مشخص خواهیم کرد که چه نوعی از Honeypot ها دارای چه سطحی از ریسک می باشند.

چگونگی و شیوه به کار بردن Honeypot ها می باشد که ارزش و فواید و مضرات آنها را مشخص می کند. در ادامه بیشتر روی آن بحث خواهد شد.

● انوع Honeypot ها

Honeypot ها در اندازه و شکلهای مختلفی هستند و همین امر باعث شده است که فهم آنها کمی مشکل شود. برای اینکه بتوان بهتر آنها را فهمید همه انواع مختلف آنها را در دو زیر مجموعه آورده ایم:

۱) Honeypot های کم واکنش

۲) Honeypot های پرواکنش

این تقسیم بندی به ما کمک می کند که چگونگی رفتار آنها را بهتر درک کنیم. و بتوانیم به راحتی نقاط ضعف و قدرت آنها و توانایی ها یشان را روشن تر کنیم. واکنش در اصل نوع ارتباطی که یک نفوذگر با Honeypot دارد را مشخص می کند.

Honeypot های کم واکنش دارای ارتباط و فعالیتی محدود می باشند.آنها معمولا با سرویسها و سیستم های عامل را شبیه سازی شده کار می کنند. سطح فعالیت یک نفوذگر با سطحی از برنامه های شبیه سازی شده محدود شده است. به عنوان مثال یک سرویس FTP شبیه سازی شده که به پورت ۲۱ گوش می کند ممکن است فقط یک صفحه login و یا حداکثر تعدادی از دستورات FTP را شبیه سازی کرده باشد . یکی از فواید این دسته از Honeypot های کم واکنش سادگی آنها می باشد.

نگهداری Honeypot های کم واکنش بسیار راحت و آسان است و خیلی راحت می توان آنها را گسترش داد و ریسک بسیار کمی دارند. آنها بیشتر درگیر این هستند که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می خواهید چه سرویسهایی را برای آن شبیه سازی و دیده بانی (Monitor ) کنید.

همین رهیافت خودکار و ساده آنها است که توسعه آن را برای بسیاری از شرکت ها راحت می کند. البته لازم به ذکر است که همین سرویسهای شبیه سازی شده باعث می شود که فعالیت های فرد نفوذگر محدود شود و همین امر باعث کاهش ریسک می گردد. به این معنی که نفوذگر نمی تواند هیچگاه به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستم های دیگر آسیب برساند.

یکی از اصلی ترین مضرات Honeypot های کم واکنش این است که آنها فقط اطلاعات محدودی را می توانند ثبت کنند و آنها طراحی می شوند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند.همچنین شناختن یک Honeypot کم واکنش برای یک نفوذگر بسیار راحت می باشد. نگران این نباشید که شبیه سازی شما چه اندازه خوب بوده است زیرا که نفوذگران حرفه ای به سرعت یک Honeypot کم واکنش را از یک سیستم واقعی تشخیص می دهند. از Honeypot های کم واکنش می توان Spector , Honeyd و KFSensor را نام برد.

Honeypot های پر واکنش متفاتند. آنها معمولا از راه حل های پیچیده تری استفاده می کنند زیرا که آنها از سیستم عاملها و سرویسهای واقعی استفاده می کنند. هیچ چیزی شبیه سازی شده نیست و ما یک سیستم واقعی را در اختیار نفوذگر می گذاریم.

اگر شما می خواهید که یک Honeypot لینوکس سرور FTP داشته باشید شما باید یک لینوکس واقعی به همراه یک سرویس FTP نصب کنید. فایده این نوع Honeypot دو چیز است. شما می توانید یک حجم زیادی از اطلاعات را به دست آورید. با دادن یک سیستم واقعی به فرد نفوذگر شما می توانید تمامی رفتار او از rootkit های جدید گرفته تا یک نشست IRC را زیر نظر بگیرید. دومین فایده Honeypot های پرواکنش این است که دیگر جای هیچ فرضیه ای روی رفتار نفوذگر باقی نمی گذارد و یک محیط باز به او می دهد و تمامی فعالیتهای او را زیر نظر می گیرد. همین امر باعث می شود که Honeypot های پرواکنش رفتارهایی از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ایم و یا نمی توانسته ایم حدس بزنیم!!

بهترین جا برای استفاده از این نوع Honeypot ها زمانی است که قصد داریم دستورات رمز شده یک در پشتی را روی یک شبکه غیر استاندارد IP به دست بیاریم. به هر حال همین امور است که ریسک اینگونه Honeypot ها را افزایش می دهد زیرا که نفوذگر یک سیستم عامل واقعی را در اختیار دارد و ممکن است به سیستم های اصلی شبکه صدمه بزند. به طور کلی یک Honeypot پرواکنش می تواند علاوه بر کارهای یک Honeypot کم واکنش کارهای خیلی بیشتری را انجام دهد.

برای فهم بهتر اینکه Honeypot کم واکنش و پرواکنش چگونه کار می کنند بهتر است دو مثال واقعی در این زمینه بیاوریم. با Honeypot های کم واکنش شروع می کنیم.

● Honeyd : یک Honeypot کم واکنش

Honeyd یک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز می باشد و برای مجموعه سیستم عاملهای یونیکس ساخته شده است.(فکر کنم روی ویندوز هم برده شده است ) . Honeyd بر اساس زیر نظر گرفتن IP های غیر قابل استفاده بنا شده است. هر چیزی که قصد داشته باشد با یک IP غیر قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلی قطع کرده و با نفوذگر ارتباط برقرار می کند و خودش را جای قربانی جا می زند.

به صورت پیش فرض Honeyd تمامی پورتها TCP و یا UDP را زیر نظر گرفته و تمامی درخواستهای آنها را ثبت می کند. همچنین برای زیر نظر گرفتن یک پورت خاص شما می توانید سرویس شبیه سازی شده مورد نظر را پیکربندی کنید مانند شبیه سازی یک سرور FTP که روی پروتکل TCP پورت ۲۱ کار می کند.وقتی که نفوذگر با یک سرویس شبیه سازی شده ارتباط برقرار می کند تمامی فعالیتهای او را با سرویسهای شبیه سازی شده دیگر ثبت کرده و زیر نظر می گیرد. مثلا در سرویس FTP شبیه سازی شده ما می توانیم نام کاربری و کلمه های رمزی که نفوذگر برای شکستن FTP سرور استفاده می کند و یا دستوراتی که صادر می کند را به دست آوریم و شاید حتی پی ببریم که او به دنبال چه چیزی می گردد و هویت او چیست !

همه اینها به سطحی از شبیه سازی بر می گردد که Honeypot در اختیار ما گذاشته است. بیشتر سرویسهای شبیه سازی شده به یک صورت کار می کنند. آنها منتظر نوع خاصی از رفتارهای هستند و طبق راههایی که قبلا تعیین کرده اند به این رفتارهای واکنش نشان می دهند.

اگر حمله A این را انجام داد از این طریق واکنش نشان بده و اگر حمله B این کار را کرد از این راه واکنش نشان بده!

محدودیت این برنامه ها در این است که اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد. بنابراین آنها نمی دانند که چه پاسخی را باید برای نفوذگر ارسال کنند. بیشتر Honeypot های کم واکنش - مانند Honeyd - یک پیغام خطا نشان می دهند. شما می توانید از کد برنامه Honeyd کل دستوراتی که برای FTP شبیه سازی کرده است را مشاهده کنید.

Honeynet ها : یک Honeypot پر واکنش

Honeynet یک مثال بدیهی برای Honeypot های پرواکنش می باشد. Honeynet ها یک محصول نمی باشند. آنها یک راه حل نرم افزاری که بتوان روی یک کامپیوتر نصب شوند نمی باشد. Honeynet ها یک معماری می باشند . یک شبکه بی عیب از کامپیوترهایی که طراحی شده اند برای حملاتی که روی آنها انجام می گیرد. طبق این نظریه ما باید یک معماری داشته باشیم که یک کنترل بالایی را روی شبکه ایجاد کند تا تمامی ارتباطات با شبکه را بتوان کنترل کرد و زیر نظر گرفت.

درون این شبکه ما چندین قربانی خیالی در نظر می گیریم البته با کامپیوترهایی که برنامه های واقعی را اجرا می کنند. فرد هکر این سیستم ها را پیدا کرده و به آنها حمله می کند و در آنها نفوذ می کند اما طبق ابتکار و راهکارهای ما ! یعنی همه چیز در کنترل ما می باشد. البته وقتی آنها این کارها را انجام می دهند نمی دانند که در یک Honeynet گرفتار شده اند. تمامی فعالیت های فرد نفوذگر از نشست های رمز شده SSH گرفته تا ایمیل ها و فایلهایی که در سیستم ها قرار می دهند همه و همه بدون آنکه آنها متوجه شوند زیر نظر گرفته و ثبت می شود. در همان زمان نیز Honeynet تمامی کارهای نفوذگر را کنترل می کند. Honeynet ها این کارها را توسط دروازه ای به نام Honeywall انجام می دهند. این دروازه به تمامی ترافیک ورودی اجازه می دهد که به سمت سیستم های قربانی ما هدایت شوند ولی ترافیک خروجی باید از سیستم های مجهز به IDS عبور کند. این کار به نفوذگر این امکان را می دهد که بتواند ارتباط قابل انعطاف تری با سیستم های قربانی داشته باشد اما در کنار آن اجازه داده نمی شود که نفوذگر با استفاده از این سیستم ها به سیستم های اصلی صدمه وارد کند.

● جایگاه Honeypot ها

حال که آشنایی ابتدایی با هر دو نوع Honeypot داریم لازم است که ارزش و جایگاه آنها را در دنیای امنیتی بیان کنیم ، به خصوص در ادامه بیان خواهیم کرد که چگونه باید از Honeypot استفاده کنیم.

همانطور که قبلا اشاره کردیم دو دسته Honeypot داریم که برای اهداف و تحقیقات ما مورد مطالعه قرار می گیرند. وقتی از Honeypot ها به صورت محصولات تولید شده برای محافظت از سازمان ها استفاده می کنیم می توانند ما را در موارد مختلفی محافظت کنند از جمله می توان محافظت ، کشف و پاسخ مناسب به یک حمله را بیان کرد. وقتی آنها را در جهت امور تحقیقاتی به کار می بریم Honeypot ها اطلاعات لازم را برای ما جمع آوری می کنند. البته این اطلاعات برای سازمانهای مختلف فرق می کند. عده ای شاید بخواهند دشمنان بیرونی خود را شناسایی کنند ، یا کارمندان و خریداران خرابکار خود را بشناسند این سازمانها نیز می توانند از این دسته Honeypot ها استفاده کنند.

اگر بخواهیم به صورت کلی بیان کنیم Honeypot های کم واکنش به عنوان محصولات تولیدی به کار می روند در صورتیکه Honeypot های پرواکنش برای عملیاتهای تحقیقاتی روی شبکه به کار گرفته می شوند. البته هر کدام از آنهامی توانند در اهداف دیگر نیز به کار روند .

Honeypot های تولیداتی می توانند ما را در سه رده زیر کمک کنند:

۱) پیشگیری (Prevention )

۲) ردیابی یا کشف( Detection )

۳) پاسخ ( Response )

Honeypot ها از راههای مختلفی می توانند ما را از حملات حفظ کنند. ابتدا حملاتی که به صورت اتوماتیکی انجام می شود مثل کرمها و یا Auto-rooter ها . این حملات به این صورت کار می کنند که نفوذگران با استفاده از بعضی از ابزارها یک رنجی از شبکه ها را پویش کرده تا آسیب پذیری سرورهای موجود در این شبکه را پیدا کنند این ابزارها پس از پیدا کردن آسیب پذیریهای موجود ، به این سیستم ها حمله می کنند. (مانند کرم ساسر که وقتی سیستمی را آلوده می کرد به صورت اتوماتیک و به وسیله یک آدرس IP تصادفی ، سیستم دیگری را نیز آلوده می کرد). روشی که Honeypot ها برای محافظت شبکه ما از این گونه حملات استفاده می کنند این است که می توانند سرعت اینگونه حملات را کند کنند و یا حتی آنها را متوقف کنند! به این دسته از Honeypot ها Honeypot های چسبنده (Sticky ) می گویند. در این راه حل Honeypot ها ، آن دسته از آدرس هایی را که در شبکه استفاده نمی شوند ، در نظر می گیرند و به آنها واکنش نشان می دهند. یعنی هنگامیکه یک برنامه مخرب یا نفوذگر قصد پویش رنجی از آدرس ها را دارد ، Honypot به آن دسته از آدرس هایی که در شبکه موجود نمی باشند واکنش نشان می دهد برای مثال با استفاده از پیغامهای TCP روند این گونه حملات را آهسته تر می کند. (برای نمونه، با دادن پیغام پنجره صفر ، نفوذگر را در یک گودال هل می دهد تا نتواند بسته های دیگر را ارسال کند) این امر برای آهسته کردن سرعت انتشار و یا محافظت در برابر کرمهایی که شبکه داخلی ما را مورد هجوم قرار می دهند بسیار مناسب است. LaBrea جزو این دسته از Honeypot ها می باشد.

Honeypot های چسبنده اغلب به عنوان یک Honeypot کم واکنش شناخته می شوند. (البته شما می توانید آنها را Honeypot های بدون واکنش بنامید زیرا که آنها فقط سرعت نفوذ یک نفوذگر را در شبکه کند می کنند )

Honeypot همچنین می توانند سازمان شما را از اشخاص نفوذگر محافظت کنند. البته این کار فقط حیله ای می باشد که باعث تهدید و ارعاب نفوذگر می شود. یعنی نفوذگر را گیج و دست پاچه کنیم تا بتوانیم از این طریق وقت او را به وسیله درگیر شدنش با Honeypot بگیریم. در ضمن سازمان شما می تواند با کشف فعالیتهای نفوذگر و داشتن زمان لازم برای پاسخ ، این گونه جملات را متوقف کند.

حتی می توان یک مرحله بالاتر رفت . اگر نفوذگر بداند که سازمان شما از Honeypot استفاده می کند ولی نداند که کدام سیستم Honeypot می باشد همیشه یک نگرانی در ذهن خود دارد که « آیا این یک سیستم حقیقی است یا در یک Honeypot گرفتار شده ام !! » و ممکن است همین نگرانی باعث شود که هیچگاه به فکر نفوذ در شبکه شما نیفتد. بنابراین Honeypot می توانند نفوذگران را بترسانند. Deception Toolkit یکی از همین نوع Honeypot های کم واکنش می باشد.

راه دومی که Honeypot ها به محافظت سازمانها کمک می کنند از طریق کشف یا ردیابی است.عمل کشف خیلی بحرانی می باشد که وظیفه اش شناسایی ناتوانی ها و از کار افتادگی های بخش پیشگیری می باشد. صرف نظر از اینکه امنیت یک سازمان به چه صورت می باشد معمولا اتفاقی برای شبکه های آنها می افتد که باعث بعضی از شکست ها می گردد. صرف نظر از مشکلات و درگیری هایی که اشخاص برای کشف یک حمله انجام می دهند، وقتی یک حمله شناسایی شود می توان خیلی سریع به آن واکنش نشان داد و آن را متوقف کرد و یا حداقل اثر آن را کمتر کرد. متاسفانه کشف یک حمله بسیار کار مشکلی می باشد. تکنولوژی هایی مانند IDS ها و فایلهای ثبت وقایع(log) از جهاتی بدون اثر می باشند. آنها داده های فراوانی را تولید می کنند که خواندن تمامی آنها زمان فراوانی را می طلبد و بسیاری از این داده ها نیز بیهوده و به درد نخور می باشند. همچنین آنها در کشف حملات جدید نیز ناتوان می باشند. حتی نمی توانند با محیط های رمز شده و یا IPV۶ کار کنند. Honeypot ها برای کشف و ردیابی یک حمله نسبت به این تکنولوژیهای قدیمی برتری دارند. Honeypot داده های کم و با قطع و یقین بیشتری جمع آوری می کند که ارزش بسیار فراوانی دارد.آنها حتی می تواند حملات جدید و یا کدهای چند شکلی را به راحتی کشف کنند و می توانند در محیطهای رمز شده و IPv۶ نیز استفاده شوند.

به هر جهت Honeypot های کم واکنش بهترین راه حل برای کشف می باشند. ساخت و نگهداری آنها آسان تر از Honeypot های پر واکنش می باشد و همچنین ریسک کمتری نسبت به آنها دارد.

سومین و آخرین راهی که honeypot ها سازمانهای ما را محافظت می کنند پاسخ( Response ) است. هر زمانی که یک سازمان یک خطا و مشکلی را در شبکه خود تشخیص داد حال چگونه باید پاسخ دهد؟ همین موضوع می تواند یکی از چالش هایی باشد که یک سازمان با آن مواجه می باشد. معمولا اطلاعات کمی درباره اینکه نفوذگر چه کسی است! و چه کاری می خواهد انجام دهد!، وجود دارد. در این وضعیت کوچکترین اطلاعات درباره فعالیت های نفوذگر، مهم و حیلاتی است.

معمولا در پاسخ مناسب به یک حمله دو تا مشکل وجود دارد؛ ابتدا اینکه ، بیشتر سیستم هایی که مورد هجوم قرار گرفته اند را نمی توان برای یک تجزیه و تحلیل مناسب ، از کار انداخت . سیستم های تولیداتی ، مانند سرور پست الکترونیکی برای یک سازمان بسیار مهم و حیاتی می باشند و حتی اگر متوجه بشوند که سرور آنها هک شده است باز هم حاضر نیستند این سیستم ها را از کار بیاندازند تا تجزیه و تحلیل دقیقی روی آنها انجام شود و پاسخ مناسبی به آن داده شود. در عوض باید در هنگامی که این سیستم ها در حال کار می باشند آنها را بررسی کرد. همین امر باعث می شود که نتوان به درستی پی برد که چه اتفاق افتاده است و چه مقدار خسارت توسط هکر به سیستم وارد شده است و آیا نفوذگر به سیستم های دیگر وارد شده است؟ و یا می تواند وارد شود!؟

مشکل دیگر در اینجا می باشد که حتی اگر سیستم را نیز از کار بیاندازیم آنقدر داده در سیستم وجود دارد که نمی توان به درستی متوجه شد که کدامیک متعلق به نفوذگر است. در عوض Honeypot ها برای چنین کارهایی بسیار عالی می باشند، زیرا که آنها را می توان به آسانی از کار انداخت تا تجزیه و تحلیل کاملی روی آنها انجام گیرد بدون اینکه به روند کاری سازمان صدمه ای وارد شود. همچنین Honeypot ها تنها فعالیت های غیر قانونی و بد اندیشانه را در خود ذخیره می کنند و به همین دلیل است که تجزیه و تحلیل یک Honeypot هک شده بسیار آسان تر از یک سیستم واقعی می باشد. هر داده ای که در Honeypot ذخیره شده است مربوط به فعالیت های فرد نفوذگر می باشد و همین موضوع این امکان را به یک سازمان می دهد که خیلی راحت به اطلاعات مفیدی درباره نوع حمله و هویت نفوذگر پی برده و پاسخ سریع و موثری را به آن دهد. به صورت کلی Honeypot پرواکنش برای پاسخ بهترین گزینه می باشند. برای پاسخ به یک اخلال ابتدا باید دانست که اخلال گر قصد چه کاری را داشته است و چگونه توانسته است که اخلال ایجاد کند، همچنین از چه ابزارهایی استفاده کرده است. پس برای این مرحله نیاز به Honeypot پرواکنش داریم.

آنچه که مسلم است ، Honeypot ها یک تکنولوژی جدید می باشند و هنوز راه فراوانی را باید بپیمایند تا به تکامل برسند. اما آنها برای بسیاری از اهدافی که یک سازمان برای مسایل امنیتی نیاز دارد ، مناسب می باشند و ما را برای برای پیشگیری از یک نفوذ ، کشف نفوذ و پاسخ به آن کمک می کنند.