Honeypot یك سیستم اطلاعاتی است كه ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است. www.idsco.ir

1. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
1
Honeypot‫چیست؟‬
Honeypot‫می‬ ‫باعث‬ ‫پویا‬ ‫ماهیت‬ ‫همین‬ .‫هستند‬ ‫پویا‬ ‫شدیدا‬ ‫و‬ ‫جدید‬ ‫تقریبا‬ ‫تکنولوژی‬ ‫یك‬ ‫ها‬‫راحتی‬ ‫به‬ ‫که‬ ‫شود‬‫آنها‬ ‫نتوان‬
‫کرد‬ ‫تعریف‬ ‫را‬. Honeypot‫و‬ ‫نرفته‬ ‫شمار‬ ‫به‬ ‫حل‬ ‫راه‬ ‫یك‬ ‫خود‬ ‫خودی‬ ‫به‬ ‫ها‬‫نمی‬ ‫حل‬ ‫را‬ ‫خاصی‬ ‫امنیتی‬ ‫مشکل‬ ‫هیچ‬‫کن‬،‫ند‬
‫می‬ ‫انجام‬ ‫اطالعات‬ ‫امنیت‬ ‫برای‬ ‫مختلفی‬ ‫کارهای‬ ‫که‬ ‫هستند‬ ‫پذیری‬ ‫انعطاف‬ ‫بسیار‬ ‫ابزارهای‬ ‫بلکه‬‫دهند‬.
‫نفوذ‬ ‫تشخیص‬ ‫سیستمهای‬ ‫و‬ ‫فایروالها‬ ‫مانند‬ ‫تکنولوژیهایی‬ ‫با‬ ‫تکنولوژی‬ ‫این‬(IDS)‫تکنولوژیها‬ ‫این‬ ‫که‬ ‫چرا‬ ،‫است‬ ‫متفاوت‬
‫ح‬ ‫را‬ ‫خاصی‬ ‫امنیتی‬ ‫مسائل‬‫می‬ ‫تعریف‬ ‫راحتتر‬ ‫دلیل‬ ‫همین‬ ‫به‬ ‫و‬ ‫کرده‬ ‫ل‬‫به‬ ‫پیشگیرانه‬ ‫تکنولوژی‬ ‫یك‬ ‫فایروالها‬ .‫شوند‬‫می‬ ‫شمار‬
‫می‬ ‫جلوگیری‬ ‫کامپیوتر‬ ‫سیستم‬ ‫یا‬ ‫شبکه‬ ‫به‬ ‫مهاجمان‬ ‫ورود‬ ‫از‬ ‫آنها‬ ،‫آیند‬‫کنند‬. IDS.‫هستند‬ ‫تشخیصی‬ ‫تکنولوژی‬ ‫یك‬ ‫ها‬
‫کر‬ ‫شناسایی‬ ‫را‬ ‫خرابکارانه‬ ‫یا‬ ‫مجاز‬ ‫غیر‬ ‫فعالیتهای‬ ‫که‬ ‫است‬ ‫این‬ ‫آنها‬ ‫هدف‬‫دهن‬ ‫هشدار‬ ‫امنیت‬ ‫متخصصان‬ ‫به‬ ‫آنها‬ ‫درباره‬ ‫و‬ ‫ده‬.‫د‬
‫تعریف‬Honeypot،‫اطالعات‬ ‫آوری‬ ‫جمع‬ ،‫تشخیص‬ ،‫پیشگیری‬ ‫در‬ ‫است‬ ‫ممکن‬ ‫آنها‬ ‫که‬ ‫چرا‬ ،‫است‬ ‫تری‬ ‫سخت‬ ‫کار‬ ‫ها‬
‫یك‬ ‫بتوان‬ ‫شاید‬ .‫گیرند‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫دیگری‬ ‫کارهای‬ ‫و‬Honeypot‫کرد‬ ‫تعریف‬ ‫صورت‬ ‫این‬ ‫به‬ ‫را‬:
Honeypot‫اطالعاتی‬ ‫سیستم‬ ‫یك‬‫است‬ ‫آن‬ ‫از‬ ‫دیگران‬ ‫ممنوع‬ ‫و‬ ‫مجاز‬ ‫غیر‬ ‫استفاده‬ ‫به‬ ‫آن‬ ‫ارزش‬ ‫که‬ ‫است‬.
‫ایمیل‬ ‫لیست‬ ‫اعضای‬ ‫وسیله‬ ‫به‬ ‫تعریف‬ ‫این‬Honeypot‫ایمیل‬ ‫لیست‬ .‫است‬ ‫شده‬ ‫انجام‬Honeypot‫از‬ ‫متشکل‬ ‫فروم‬ ‫یك‬
‫از‬ ‫بیش‬0555‫آنجاییکه‬ ‫از‬ .‫است‬ ‫امنیت‬ ‫متخصص‬Honeypot‫ارائ‬ ،‫دارند‬ ‫وجود‬ ‫مختلفی‬ ‫های‬ ‫اندازه‬ ‫و‬ ‫اشکال‬ ‫در‬ ‫ها‬‫ه‬
‫یك‬ ‫تعریف‬ .‫است‬ ‫سختی‬ ‫بسیار‬ ‫کار‬ ‫آن‬ ‫از‬ ‫جامعی‬ ‫تعریف‬Honeypot‫آن‬ ‫هدف‬ ‫حتی‬ ‫یا‬ ‫و‬ ‫آن‬ ‫کار‬ ‫نحوه‬ ‫دهنده‬ ‫نشان‬
‫یك‬ ‫گذاری‬ ‫ارزش‬ ‫نحوه‬ ‫به‬ ‫ناظر‬ ‫صرفا‬ ‫تعریف‬ ‫این‬ .‫نیست‬Honeypot،‫تر‬ ‫ساده‬ ‫عبارت‬ ‫به‬ .‫است‬Honeypot‫یك‬ ‫ها‬
.‫دارد‬ ‫بستگی‬ ‫آنها‬ ‫با‬ ‫مجرمان‬ ‫تعامل‬ ‫به‬ ‫آنها‬ ‫ارزش‬ ‫که‬ ‫هستند‬ ‫تکنولوژی‬‫تمامی‬Honeypot‫کار‬ ‫ایده‬ ‫یك‬ ‫اساس‬ ‫بر‬ ‫ها‬
‫می‬‫با‬ ‫تعاملی‬ ‫هر‬ ،‫نماید‬ ‫برقرار‬ ‫تعامل‬ ‫آنها‬ ‫با‬ ‫یا‬ ‫و‬ ‫کند‬ ‫استفاده‬ ‫آنها‬ ‫از‬ ‫نباید‬ ‫هیچکس‬ :‫کنند‬Honeypot‫شمرده‬ ‫مجاز‬ ‫غیر‬
‫می‬ ‫شمار‬ ‫به‬ ‫خرابکارانه‬ ‫حرکت‬ ‫یك‬ ‫از‬ ‫ای‬ ‫نشانه‬ ‫و‬ ‫شده‬‫رود‬.

2. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
2
‫یك‬Honeypot‫می‬ ‫قرار‬ ‫سازمان‬ ‫شبکه‬ ‫در‬ ‫که‬ ‫است‬ ‫سیستمی‬،‫گیرد‬‫و‬ ‫ندارد‬ ‫کاربردی‬ ‫هیچ‬ ‫شبکه‬ ‫آن‬ ‫کاربران‬ ‫برای‬ ‫اما‬
‫یك‬ ‫دارای‬ ‫سیستم‬ ‫این‬ .‫ندارند‬ ‫را‬ ‫سیستم‬ ‫این‬ ‫با‬ ‫ارتباطی‬ ‫هیچگونه‬ ‫برقراری‬ ‫حق‬ ‫سازمان‬ ‫اعضای‬ ‫از‬ ‫یك‬ ‫هیچ‬ ‫حقیقت‬ ‫در‬
‫می‬ ‫ضعف‬ ‫دارای‬ ‫سیستمهای‬ ‫دنبال‬ ‫به‬ ‫همیشه‬ ‫شبکه‬ ‫یك‬ ‫به‬ ‫نفوذ‬ ‫برای‬ ‫مهاجمان‬ ‫آنجاییکه‬ ‫از‬ .‫است‬ ‫امنیتی‬ ‫ضعفهای‬ ‫سری‬-
،‫گردند‬‫می‬ ‫جلب‬ ‫خود‬ ‫به‬ ‫را‬ ‫آنها‬ ‫توجه‬ ‫سیستم‬ ‫این‬.‫کند‬
‫تالش‬ ‫یك‬ ،‫سیستم‬ ‫این‬ ‫با‬ ‫ارتباط‬ ‫برقراری‬ ‫برای‬ ‫تالشی‬ ‫هر‬ ‫پس‬ ،‫ندارد‬ ‫را‬ ‫سیستم‬ ‫این‬ ‫با‬ ‫ارتباط‬ ‫حق‬ ‫هیچکس‬ ‫اینکه‬ ‫به‬ ‫توجه‬ ‫با‬
‫می‬ ‫محسوب‬ ‫مهاجمان‬ ‫سوی‬ ‫از‬ ‫خرابکارانه‬‫به‬ ‫و‬ ‫داده‬ ‫فریب‬ ‫را‬ ‫مهاجمان‬ ‫که‬ ‫است‬ ‫دام‬ ‫نوعی‬ ‫سیستم‬ ‫این‬ ‫حقیقت‬ ‫در‬ .‫شود‬
‫می‬ ‫جلب‬ ‫خود‬ ‫سوی‬‫می‬ ‫سازمان‬ ‫به‬ ‫نیز‬ ‫را‬ ‫فرصت‬ ‫این‬ ،‫مهاجمان‬ ‫کار‬ ‫کنترل‬ ‫و‬ ‫نظارت‬ ‫امکان‬ ‫بر‬ ‫عالوه‬ ‫ترتیب‬ ‫این‬ ‫به‬ ‫و‬ ‫کند‬‫د‬‫هد‬
‫دارند‬ ‫نگه‬ ‫دور‬ ‫خود‬ ‫شبکه‬ ‫اصلی‬ ‫سیستمهای‬ ‫از‬ ‫را‬ ‫مهاجم‬ ‫فرد‬ ‫که‬.
‫یك‬Honeypot‫نمی‬ ‫ارائه‬ ‫واقعی‬ ‫سرویس‬ ‫هیچ‬‫ورود‬ ‫برای‬ ‫که‬ ‫تالشی‬ ‫هر‬ ،‫گیرد‬ ‫انجام‬ ‫که‬ ‫تعاملی‬ ‫هر‬ .‫دهد‬‫سی‬ ‫این‬ ‫به‬‫ستم‬
‫یك‬ ‫روی‬ ‫که‬ ‫ای‬ ‫داده‬ ‫فایل‬ ‫هر‬ ‫یا‬ ،‫گیرد‬ ‫صورت‬Honeypot‫از‬ ‫ای‬ ‫نشانه‬ ‫زیاد‬ ‫بسیار‬ ‫احتمال‬ ‫با‬ ،‫گیرد‬ ‫قرار‬ ‫دسترسی‬ ‫مورد‬
‫سیستم‬ ‫یك‬ ،‫مثال‬ ‫برای‬ .‫است‬ ‫مجاز‬ ‫غیر‬ ‫و‬ ‫خرابکارانه‬ ‫فعالیت‬ ‫یك‬Honeypot‫می‬‫کار‬ ‫به‬ ‫داخلی‬ ‫شبکه‬ ‫یك‬ ‫روی‬ ‫تواند‬
‫این‬ .‫شود‬ ‫گرفته‬Honeypot‫خ‬ ‫ارزش‬ ‫هیچ‬ ‫از‬‫آن‬ ‫از‬ ‫استفاده‬ ‫به‬ ‫نیازی‬ ‫سازمان‬ ‫درون‬ ‫در‬ ‫هیچکس‬ ‫و‬ ‫نیست‬ ‫برخوردار‬ ‫اصی‬
‫می‬ ‫سیستم‬ ‫این‬ .‫کند‬ ‫استفاده‬ ‫آن‬ ‫از‬ ‫نباید‬ ‫و‬ ‫نداشته‬‫ایستگاه‬ ‫یك‬ ‫حتی‬ ‫یا‬ ،‫سرور‬ ‫وب‬ ‫یك‬ ،‫سرور‬ ‫فایل‬ ‫یك‬ ‫ظاهر‬ ‫به‬ ‫تواند‬
‫انجام‬ ‫حال‬ ‫در‬ ‫زیاد‬ ‫احتمال‬ ‫با‬ ،‫نماید‬ ‫برقرار‬ ‫ارتباط‬ ‫سیستم‬ ‫این‬ ‫با‬ ‫کسی‬ ‫اگر‬ .‫باشد‬ ‫معمولی‬ ‫کاری‬‫فعالیت‬ ‫یك‬‫یا‬ ‫مجاز‬ ‫غیر‬
‫است‬ ‫خرابکارانه‬.
‫یك‬ ،‫حقیقت‬ ‫در‬Honeypot‫می‬ ‫سیستم‬ ‫این‬ .‫باشد‬ ‫کامپیوتر‬ ‫یك‬ ‫حتما‬ ‫که‬ ‫نیست‬ ‫الزم‬ ‫حتی‬‫دیج‬ ‫نهاد‬ ‫نوع‬ ‫هر‬ ‫تواند‬‫یتالی‬
‫به‬ ‫آن‬ ‫از‬ ‫(معموال‬ ‫باشد‬Honeytoken‫می‬ ‫یاد‬‫می‬ ‫بیمارستان‬ ‫یك‬ ،‫مثال‬ ‫برای‬ .‫ندارد‬ ‫واقعی‬ ‫ارزش‬ ‫هیچ‬ ‫که‬ )‫شود‬‫یك‬ ‫تواند‬
‫نا‬ ‫مجموعه‬‫رکوردها‬ ‫این‬ ‫آنجاییکه‬ ‫از‬ .‫نماید‬ ‫ایجاد‬ ‫بیماران‬ ‫اطالعاتی‬ ‫رکوردهای‬ ‫از‬ ‫درست‬Honeypot‫هیچکس‬ ،‫هستند‬
‫می‬ ‫رکوردها‬ ‫این‬ .‫کند‬ ‫برقرار‬ ‫تعامل‬ ‫آنها‬ ‫با‬ ‫یا‬ ‫کرده‬ ‫پیدا‬ ‫دسترسی‬ ‫آنها‬ ‫به‬ ‫نباید‬‫ا‬ ‫بیماران‬ ‫داده‬ ‫پایگاه‬ ‫داخل‬ ‫در‬ ‫توانند‬‫ین‬
‫جزء‬ ‫یك‬ ‫عنوان‬ ‫به‬ ‫بیمارستان‬Honeypot‫اگ‬ .‫گیرند‬ ‫قرار‬‫رکوردها‬ ‫این‬ ‫به‬ ‫دسترسی‬ ‫برای‬ ‫مهاجم‬ ‫فرد‬ ‫یك‬ ‫یا‬ ‫کارمند‬ ‫یك‬ ‫ر‬

3. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
3
‫می‬ ،‫نماید‬ ‫تالش‬‫رکوردها‬ ‫این‬ ‫از‬ ‫نباید‬ ‫هیچکس‬ ‫که‬ ‫چرا‬ ،‫رود‬ ‫شمار‬ ‫به‬ ‫مجاز‬ ‫غیر‬ ‫فعالیت‬ ‫یك‬ ‫از‬ ‫ای‬ ‫نشانه‬ ‫عنوان‬ ‫به‬ ‫تواند‬
‫می‬ ‫صادر‬ ‫هشدار‬ ‫پیغام‬ ‫یك‬ ،‫کند‬ ‫پیدا‬ ‫دسترسی‬ ‫رکوردها‬ ‫این‬ ‫به‬ ‫چیزی‬ ‫یا‬ ‫شخصی‬ ‫اگر‬ .‫کند‬ ‫استفاده‬‫این‬ .‫شود‬‫ساده‬ ‫ایده‬
‫پشت‬Honeypot‫می‬ ‫ارزشمند‬ ‫را‬ ‫آنها‬ ‫که‬ ‫هاست‬‫کند‬.
‫چند‬ ‫یا‬ ‫دو‬Honeypot‫یك‬ ،‫باشند‬ ‫گرفته‬ ‫قرار‬ ‫شبکه‬ ‫یك‬ ‫در‬ ‫که‬Honeynet‫می‬ ‫تشکیل‬ ‫را‬‫های‬ ‫شبکه‬ ‫در‬ ‫نوعا‬ .‫دهند‬
‫یك‬ ‫که‬ ‫متنوعتر‬ ‫و‬ ‫بزرگتر‬Honeypot‫از‬ ،‫نیست‬ ‫کافی‬ ‫شبکه‬ ‫بر‬ ‫نظارت‬ ‫برای‬ ‫تنهایی‬ ‫به‬Honeynet‫می‬ ‫استفاده‬‫کنند‬.
Honeynet‫می‬ ‫سازی‬ ‫پیاده‬ ‫نفوذ‬ ‫تشخیص‬ ‫بزرگ‬ ‫سیستم‬ ‫یك‬ ‫از‬ ‫بخشی‬ ‫عنوان‬ ‫به‬ ‫معموال‬ ‫ها‬‫حقیقت‬ ‫در‬ .‫شوند‬
Honeynet‫از‬ ‫شبکه‬ ‫یك‬Honeypot‫تعاملها‬ ‫و‬ ‫فعالیتها‬ ‫تمامی‬ ‫که‬ ‫است‬ ‫شده‬ ‫تنظیم‬ ‫طوری‬ ‫که‬ ‫باالست‬ ‫تعامل‬ ‫با‬ ‫های‬
‫می‬ ‫ثبت‬ ‫و‬ ‫کنترل‬ ،‫شبکه‬ ‫این‬ ‫با‬‫شود‬.
‫از‬ ‫استفاده‬ ‫مزایای‬Honeypot
Honeypot‫می‬ ‫آوری‬ ‫جمع‬ ‫را‬ ‫ها‬ ‫داده‬ ‫از‬ ‫کوچکی‬ ‫های‬ ‫مجموعه‬ ‫صرفا‬ ‫ها‬‫کنند‬. Honeypot‫کسی‬ ‫که‬ ‫زمانی‬ ‫فقط‬ ‫ها‬
‫می‬ ‫آوری‬ ‫جمع‬ ‫را‬ ‫ها‬ ‫داده‬ ‫کند‬ ‫برقرار‬ ‫ارتباط‬ ‫آنها‬ ‫با‬ ‫چیزی‬ ‫یا‬‫ها‬ ‫داده‬ ‫از‬ ‫کوچکی‬ ‫بسیار‬ ‫های‬ ‫مجموعه‬ ‫صرفا‬ ‫نتیجه‬ ‫در‬ ،‫نمایند‬
‫می‬ ‫جمع‬ ‫را‬‫س‬ .‫ارزشمندند‬ ‫بسیار‬ ‫ها‬ ‫داده‬ ‫این‬ ‫البته‬ ‫که‬ ،‫کنند‬‫می‬ ‫ثبت‬ ‫روز‬ ‫هر‬ ‫در‬ ‫را‬ ‫هشدار‬ ‫پیغام‬ ‫هزاران‬ ‫که‬ ‫ازمانهایی‬‫ک‬‫با‬ ،‫نند‬
‫از‬ ‫استفاده‬Honeypot‫می‬ ‫باعث‬ ‫موضوع‬ ‫این‬ .‫نمایند‬ ‫ثبت‬ ‫را‬ ‫هشدار‬ ‫پیغام‬ ‫صد‬ ‫فقط‬ ‫است‬ ‫ممکن‬ ‫ها‬‫و‬ ‫مدیریت‬ ‫که‬ ‫شود‬
‫توسط‬ ‫شده‬ ‫آوری‬ ‫جمع‬ ‫های‬ ‫داده‬ ‫تحلیل‬Honeypot‫باشد‬ ‫تر‬ ‫ساده‬ ‫بسیار‬ ‫ها‬.
Honeypot‫تشخیص‬ ‫خطاهای‬ ‫موارد‬ ‫ها‬‫می‬ ‫کاهش‬ ‫را‬ ‫اشتباه‬‫دهند‬.‫تشخیصی‬ ‫سیستمهای‬ ‫اغلب‬ ‫چالشهای‬ ‫مهمترین‬ ‫از‬ ‫یکی‬
‫نشان‬ ‫واقعا‬ ‫دهنده‬ ‫هشدار‬ ‫پیغامهای‬ ‫این‬ ،‫زیادی‬ ‫موارد‬ ‫در‬ ‫و‬ ‫کرده‬ ‫تولید‬ ‫زیادی‬ ‫خطای‬ ‫دهنده‬ ‫هشدار‬ ‫پیغامهای‬ ‫که‬ ‫است‬ ‫این‬
‫می‬ ‫تشخیص‬ ‫تهدید‬ ‫را‬ ‫رویداد‬ ‫یك‬ ‫حالی‬ ‫در‬ ‫یعنی‬ .‫نیستند‬ ‫خطری‬ ‫هیچ‬ ‫وقوع‬ ‫دهنده‬‫در‬ ‫که‬ ‫دهند‬‫ک‬ ‫در‬ ‫تهدیدی‬ ‫حقیقت‬‫ار‬
‫می‬ ‫تر‬ ‫فایده‬ ‫بی‬ ‫دهنده‬ ‫تشخیص‬ ‫تکنولوژی‬ ،‫باشد‬ ‫بیشتر‬ ‫اشتباه‬ ‫تشخیص‬ ‫این‬ ‫احتمال‬ ‫چه‬ ‫هر‬ .‫نیست‬‫شو‬‫د‬. Honeypot‫به‬ ‫ها‬
‫می‬ ‫کاهش‬ ‫را‬ ‫اشتباه‬ ‫تشخیصهای‬ ‫این‬ ‫درصد‬ ‫توجهی‬ ‫قابل‬ ‫طور‬‫با‬ ‫مرتبط‬ ‫فعالیت‬ ‫هر‬ ‫تقریبا‬ ‫که‬ ‫چرا‬ ،‫دهند‬Honeypot‫به‬ ‫ها‬
‫تعریف‬ ‫مجاز‬ ‫غیر‬ ‫فرض‬ ‫پیش‬ ‫طور‬‫دلیل‬ ‫همین‬ ‫به‬ .‫است‬ ‫شده‬Honeypot‫موثرند‬ ‫بسیار‬ ‫حمالت‬ ‫تشخیص‬ ‫در‬ ‫ها‬.

4. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
4
Honeypot‫می‬ ‫ها‬‫دهند‬ ‫تشخیص‬ ‫را‬ ‫ناشناخته‬ ‫حمالت‬ ‫توانند‬.‫معمول‬ ‫تشخیصی‬ ‫تکنولوژیهای‬ ‫در‬ ‫که‬ ‫دیگری‬ ‫چالش‬
‫نمی‬ ‫تشخیص‬ ‫را‬ ‫ناشناخته‬ ‫حمالت‬ ‫معموال‬ ‫آنها‬ ‫که‬ ‫است‬ ‫این‬ ‫دارد‬ ‫وجود‬‫مهم‬ ‫و‬ ‫حیاتی‬ ‫بسیار‬ ‫تفاوت‬ ‫یك‬ ‫این‬ .‫دهند‬‫ب‬‫ین‬
Honeypot‫آماری‬ ‫های‬ ‫داده‬ ‫یا‬ ‫شده‬ ‫شناخته‬ ‫امضاهای‬ ‫اساس‬ ‫بر‬ ‫که‬ ‫است‬ ‫معمولی‬ ‫کامپیوتری‬ ‫امنیت‬ ‫تکنولوژیهای‬ ‫و‬ ‫ها‬
‫می‬ ‫تشخیص‬‫حداقل‬ ‫ای‬ ‫حمله‬ ‫هر‬ ‫باید‬ ‫ابتدا‬ ‫که‬ ‫هستند‬ ‫معنا‬ ‫این‬ ‫به‬ ‫تعریف‬ ‫در‬ ،‫امضا‬ ‫بر‬ ‫مبتنی‬ ‫تشخیصی‬ ‫تکنولوژیهای‬ .‫دهند‬
‫س‬ ‫و‬ ‫گردد‬ ‫شناسایی‬ ‫آن‬ ‫امضای‬ ‫و‬ ‫شده‬ ‫انجام‬ ‫بار‬ ‫یك‬‫مبتنی‬ ‫تشخیص‬ .‫شود‬ ‫شناخته‬ ‫بعدی‬ ‫موارد‬ ‫در‬ ،‫امضا‬ ‫آن‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫پس‬
‫می‬ ‫رنج‬ ‫آماری‬ ‫خطاهای‬ ‫از‬ ‫نیز‬ ‫آماری‬ ‫های‬ ‫داده‬ ‫بر‬‫برد‬. Honeypot‫نیز‬ ‫را‬ ‫جدید‬ ‫حمالت‬ ‫که‬ ‫اند‬ ‫شده‬ ‫طراحی‬ ‫طوری‬ ‫ها‬
‫می‬ ‫کشف‬ ‫و‬ ‫شناسایی‬‫با‬ ‫ارتباط‬ ‫در‬ ‫فعالیتی‬ ‫هر‬ ‫که‬ ‫چرا‬ .‫کنند‬Honeypot‫د‬ ‫و‬ ‫شده‬ ‫شناخته‬ ‫معمول‬ ‫غیر‬ ‫ها‬‫حمالت‬ ‫نتیجه‬ ‫ر‬
‫می‬ ‫معرفی‬ ‫نیز‬ ‫را‬ ‫جدید‬‫کند‬.
Honeypot‫می‬ ‫کشف‬ ‫نیز‬ ‫را‬ ‫شده‬ ‫رمز‬ ‫فعالیتهای‬ ‫ها‬‫کنند‬.،‫باشد‬ ‫شده‬ ‫رمز‬ ‫حمله‬ ‫یك‬ ‫اگر‬ ‫حتی‬Honeypot‫می‬ ‫ها‬‫توانند‬
‫مانند‬ ‫رمزگذاری‬ ‫پروتکلهای‬ ‫از‬ ‫سازمانها‬ ‫از‬ ‫بیشتری‬ ‫تعداد‬ ‫که‬ ‫تدریج‬ ‫به‬ .‫کنند‬ ‫کشف‬ ‫را‬ ‫فعالیت‬ ‫این‬SSH،IPsec‫و‬ ،SSL
‫استفاده‬‫می‬‫می‬ ‫نشان‬ ‫را‬ ‫خود‬ ‫بیشتر‬ ‫مساله‬ ‫این‬ ،‫کنند‬‫دهد‬. Honeypot‫می‬ ‫ها‬‫حمالت‬ ‫که‬ ‫چرا‬ ،‫دهند‬ ‫انجام‬ ‫را‬ ‫کار‬ ‫این‬ ‫توانند‬
‫با‬ ‫شده‬ ‫رمز‬Honeypot‫می‬ ‫برقرار‬ ‫تعامل‬ ،‫ارتباط‬ ‫انتهایی‬ ‫نقطه‬ ‫یك‬ ‫عنوان‬ ‫به‬‫توسط‬ ‫فعالیت‬ ‫این‬ ‫و‬ ‫کنند‬Honeypot‫رمز‬
‫می‬ ‫گشایی‬‫شود‬.
Honeypot‫با‬IPv6‫می‬ ‫کار‬‫کند‬.‫اغلب‬Honeypot‫پروتکل‬ ‫از‬ ‫نظر‬ ‫صرف‬ ‫ها‬IP‫جمله‬ ‫از‬IPv6‫محیط‬ ‫هر‬ ‫در‬ ،IP
‫می‬ ‫کار‬‫کنند‬. IPv6‫اینترنت‬ ‫پروتکل‬ ‫جدید‬ ‫استاندارد‬ ‫یك‬(IP)‫آن‬ ‫از‬ ‫کشورها‬ ‫از‬ ‫بسیاری‬ ‫در‬ ‫سازمانها‬ ‫از‬ ‫بسیاری‬ ‫که‬ ‫است‬
‫می‬ ‫استفاده‬‫نفو‬ ‫تشخیص‬ ‫سیستم‬ ‫سنسورهای‬ ‫و‬ ‫فایروالها‬ ‫مانند‬ ‫فعلی‬ ‫تکنولوژیهای‬ ‫از‬ ‫بسیاری‬ .‫کنند‬‫ب‬ ‫ذ‬‫با‬ ‫خوبی‬ ‫ه‬IPv6‫سازگار‬
‫اند‬ ‫نشده‬.
Honeypot‫پذیرند‬ ‫انعطاف‬ ‫بسیار‬ ‫ها‬. Honeypot‫می‬ ‫و‬ ‫پذیرند‬ ‫انعطاف‬ ‫بسیار‬ ‫ها‬‫مورد‬ ‫مختلفی‬ ‫محیطهای‬ ‫در‬ ‫توانند‬
‫انعطاف‬ ‫قابلیت‬ ‫همین‬ .‫گیرند‬ ‫قرار‬ ‫استفاده‬Honeypot‫می‬ ‫اجازه‬ ‫آنها‬ ‫به‬ ‫که‬ ‫هاست‬‫تعداد‬ ‫که‬ ‫دهند‬ ‫انجام‬ ‫را‬ ‫کاری‬ ‫دهد‬
‫تکن‬ ‫از‬ ‫کمی‬ ‫بسیار‬‫می‬ ‫ولوژیها‬‫داخلی‬ ‫حمالت‬ ‫علیه‬ ‫بر‬ ‫خصوص‬ ‫به‬ ‫ارزشمند‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬ :‫دهند‬ ‫انجام‬ ‫توانند‬.

5. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
5
Honeypot‫دارند‬ ‫نیاز‬ ‫منابع‬ ‫حداقل‬ ‫به‬ ‫ها‬.،‫ها‬ ‫شبکه‬ ‫بزرگترین‬ ‫در‬ ‫حتی‬Honeypot.‫دارند‬ ‫احتیاج‬ ‫منابع‬ ‫حداقل‬ ‫به‬ ‫ها‬
‫می‬ ‫ساده‬ ‫و‬ ‫قدیمی‬ ‫پنتیوم‬ ‫کامپیوتر‬ ‫یك‬‫آدرس‬ ‫میلیونها‬ ‫تواند‬IP‫شبک‬ ‫یك‬ ‫یا‬‫ه‬OC-12‫نماید‬ ‫نظارت‬ ‫را‬.
‫از‬ ‫استفاده‬ ‫معایب‬Honeypot
Honeypot‫تکنولوژی‬ ‫هیچ‬ ‫جای‬ ‫که‬ ‫اند‬ ‫نشده‬ ‫طراحی‬ ‫این‬ ‫برای‬ ‫آنها‬ .‫دارند‬ ‫معایبی‬ ‫دیگری‬ ‫تکنولوژی‬ ‫هر‬ ‫مانند‬ ‫نیز‬ ‫ها‬
‫بگیرند‬ ‫را‬ ‫خاصی‬.
Honeypot‫هستند‬ ‫محدود‬ ‫و‬ ‫کوچك‬ ‫دید‬ ‫محدوده‬ ‫یك‬ ‫دارای‬ ‫ها‬. Honeypot‫می‬ ‫را‬ ‫کسانی‬ ‫همان‬ ‫فقط‬ ‫ها‬‫که‬ ‫بینند‬
‫می‬ ‫تعامل‬ ‫به‬ ‫آنها‬ ‫با‬‫مشاهده‬ ‫را‬ ‫سیستمها‬ ‫سایر‬ ‫با‬ ‫شده‬ ‫انجام‬ ‫تعامالت‬ ‫یا‬ ‫و‬ ‫سیستمها‬ ‫سایر‬ ‫علیه‬ ‫بر‬ ‫حمالت‬ ‫نتیجه‬ ‫در‬ .‫پردازند‬
‫نمی‬‫می‬ ‫شمار‬ ‫به‬ ‫نیز‬ ‫عیب‬ ‫یك‬ ،‫است‬ ‫مزیت‬ ‫یك‬ ‫که‬ ‫حال‬ ‫عین‬ ‫در‬ ‫نکته‬ ‫این‬ .‫کنند‬‫یك‬ .‫رود‬Honeypot‫نمی‬ ‫شما‬ ‫به‬‫گوید‬
‫استفاده‬ ‫سوء‬ ‫مورد‬ ‫دیگری‬ ‫سیستم‬ ‫که‬‫خود‬ ‫با‬ ‫گرفته‬ ‫قرار‬ ‫استفاده‬ ‫سوء‬ ‫مورد‬ ‫که‬ ‫سیستمی‬ ‫اینکه‬ ‫مگر‬ ،‫است‬ ‫گرفته‬ ‫قرار‬
Honeypot‫می‬ ‫آنها‬ ‫طریق‬ ‫از‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫زیادی‬ ‫راههای‬ ‫عیب‬ ‫این‬ ‫کردن‬ ‫برطرف‬ ‫برای‬ .‫نماید‬ ‫برقرار‬ ‫تعاملی‬‫توانی‬‫د‬
‫سمت‬ ‫به‬ ‫را‬ ‫مهاجمان‬ ‫فعالیت‬Honeypot‫می‬ ‫میان‬ ‫این‬ ‫از‬ .‫دهید‬ ‫مسیر‬ ‫تغییر‬ ‫ها‬‫به‬ ‫توان‬Honeytoken‫مسیر‬ ‫تغییر‬ ‫و‬ ‫ها‬
‫کرد‬ ‫اشاره‬.
‫ریسك‬‫می‬ ‫کار‬ ‫به‬ ‫را‬ ‫جدید‬ ‫تکنولوژی‬ ‫یك‬ ‫شما‬ ‫که‬ ‫زمان‬ ‫هر‬‫به‬ ‫نیز‬ ‫را‬ ‫خود‬ ‫به‬ ‫مخصوص‬ ‫ریسکهای‬ ‫تکنولوژی‬ ‫آن‬ ،‫گیرید‬
‫اهداف‬ ‫علیه‬ ‫بر‬ ‫حمالت‬ ‫برای‬ ‫ابزاری‬ ‫عنوان‬ ‫به‬ ‫آن‬ ‫از‬ ‫و‬ ‫کرده‬ ‫غلبه‬ ‫سیستم‬ ‫این‬ ‫بر‬ ‫مهاجم‬ ‫یك‬ ‫که‬ ‫ریسك‬ ‫این‬ ‫مثال‬ ،‫دارد‬ ‫همراه‬
‫خارجی‬ ‫و‬ ‫داخلی‬‫پشته‬ ‫هیچ‬ ‫که‬ ‫نفوذ‬ ‫تشخیص‬ ‫سیستمهای‬ ‫حتی‬ .‫نماید‬ ‫استفاده‬IP‫نیز‬ ‫است‬ ‫نشده‬ ‫داده‬ ‫تخصیص‬ ‫آنها‬ ‫به‬
‫می‬‫باشند‬ ‫داشته‬ ‫قرار‬ ‫خطر‬ ‫معرض‬ ‫در‬ ‫توانند‬. Honeypot‫نیستند‬ ‫استثناء‬ ‫مورد‬ ‫این‬ ‫در‬ ‫نیز‬ ‫ها‬. Honeypot‫مختلف‬ ‫های‬
‫وجود‬ ‫خطرات‬ ‫این‬ ‫کاهش‬ ‫برای‬ ‫نیز‬ ‫مختلفی‬ ‫راههای‬ .‫دارند‬ ‫متفاوتی‬ ‫خطر‬ ‫سطوح‬‫انواع‬ ‫میان‬ ‫از‬ .‫دارد‬Honeypot،‫ها‬
‫هستند‬ ‫دارا‬ ‫را‬ ‫خطر‬ ‫سطح‬ ‫بیشترین‬ ‫نتها‬ ‫هانی‬.

6. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
6
‫انواع‬Honeypot
‫بهتر‬ ‫درك‬ ‫برای‬Honeypot‫می‬ ،‫ها‬‫تعامل‬ ‫با‬ ‫گروه‬ ‫دو‬ ‫به‬ ‫را‬ ‫آنها‬ ‫توانیم‬( Interaction)‫تقسیم‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫و‬ ‫کم‬
‫از‬ ‫منظور‬ .‫کنیم‬interaction‫که‬ ‫است‬ ‫تعاملی‬ ‫و‬ ‫فعالیت‬ ‫میزان‬ ،‫آن‬ ‫با‬ ‫دارد‬ ‫اجازه‬ ‫مهاجم‬ ‫فرد‬ ‫یك‬Honeypot‫انجام‬
‫می‬ ‫بیشتری‬ ‫کارهای‬ ‫مهاجم‬ ‫فرد‬ ،‫باشد‬ ‫بیشتر‬ ‫تعامل‬ ‫و‬ ‫فعالیت‬ ‫میزان‬ ‫این‬ ‫چه‬‫هر‬ .‫دهد‬‫م‬ ‫شما‬ ‫نتیجه‬ ‫در‬ ‫و‬ ‫دهد‬ ‫انجام‬ ‫تواند‬‫ی‬‫توانید‬
‫ریسك‬ ‫میزان‬ ،‫تعامل‬ ‫و‬ ‫فعالیت‬ ‫این‬ ‫افزایش‬ ‫با‬ ‫البته‬ .‫آورید‬ ‫بدست‬ ‫بیشتری‬ ‫اطالعات‬ ‫فعالیتش‬ ‫و‬ ‫وی‬ ‫به‬ ‫راجع‬‫ن‬‫می‬ ‫افزایش‬ ‫یز‬
‫یابد‬. Honeypot‫می‬ ‫صادر‬ ‫را‬ ‫تعامالت‬ ‫از‬ ‫کمی‬ ‫حجم‬ ‫انجام‬ ‫اجازه‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬‫حالیکه‬ ‫در‬ ،‫کنند‬Honeypot
‫می‬ ‫اجازه‬ ‫را‬ ‫تعامالت‬ ‫از‬ ‫زیادی‬ ‫حجم‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬‫دهند‬.
Honeypot‫كم‬ ‫تعامل‬ ‫با‬ ‫های‬
Honeypot‫م‬ ‫کار‬ ‫سرویسها‬ ‫و‬ ‫سیستمها‬ ‫سازی‬ ‫شبیه‬ ‫با‬ ،‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬‫ی‬‫شامل‬ ‫صرفا‬ ‫نیز‬ ‫مهاجمان‬ ‫فعالیتهای‬ ‫و‬ ‫کنند‬‫همان‬
‫می‬ ‫چیزهایی‬‫می‬ ‫اجازه‬ ‫شده‬ ‫سازی‬ ‫شبیه‬ ‫سرویسهای‬ ‫که‬ ‫شود‬،‫مثال‬ ‫برای‬ .‫دهند‬Honeypot BackOfficer Friendly
‫نمونه‬ ‫یك‬Honeypot‫می‬ ‫سازی‬ ‫شبیه‬ ‫را‬ ‫مختلف‬ ‫سرویس‬ ‫هفت‬ ‫که‬ ‫است‬ ‫ساده‬ ‫بسیار‬‫کارهایی‬ ‫مورد‬ ‫در‬ ‫مهاجمان‬ .‫کند‬
‫با‬ ‫که‬Honeypot‫م‬‫می‬ ‫شده‬ ‫سازی‬ ‫شبیه‬ ‫سرویسهای‬ ‫بر‬ ‫بتنی‬،‫حالت‬ ‫بیشترین‬ ‫در‬ .‫هستند‬ ‫محدود‬ ‫بسیار‬ ‫دهند‬ ‫انجام‬ ‫توانند‬
‫می‬ ‫مهاجمان‬‫این‬ ‫به‬ ‫توانند‬Honeypot‫دهند‬ ‫انجام‬ ‫را‬ ‫کمی‬ ‫اولیه‬ ‫دستورات‬ ‫و‬ ‫شده‬ ‫وصل‬ ‫ها‬.
‫از‬ ‫استفاده‬Honeypot‫های‬ ‫گزینه‬ ‫با‬ ‫پیش‬ ‫از‬ ‫معموال‬ ‫آنها‬ ‫که‬ ‫چرا‬ ،‫است‬ ‫تر‬ ‫ساده‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬‫برای‬ ‫مختلفی‬
administrator‫یك‬ ‫بالفاصله‬ ‫و‬ ‫کنید‬ ‫کلیك‬ ‫و‬ ‫کرده‬ ‫انتخاب‬ ‫شما‬ ‫است‬ ‫کافی‬ ‫فقط‬ .‫اند‬ ‫شده‬ ‫تنظیم‬Honeypot‫با‬ ‫را‬
‫این‬ ‫جمله‬ ‫از‬ .‫باشید‬ ‫داشته‬ ‫اختیار‬ ‫در‬ ‫خود‬ ‫نظر‬ ‫مورد‬ ‫رفتار‬ ‫و‬ ‫سرویسها‬ ،‫عامل‬ ‫سیستم‬Honeypot‫می‬ ‫ها‬‫به‬ ‫توان‬Specter
‫طرا‬ ‫ویندوز‬ ‫تحت‬ ‫اجرای‬ ‫برای‬ ‫که‬ ‫کرد‬ ‫اشاره‬‫این‬ .‫است‬ ‫شده‬ ‫حی‬Honeypot‫می‬‫تا‬ ‫تواند‬31‫را‬ ‫مختلف‬ ‫عامل‬ ‫سیستم‬
‫و‬ ‫کرده‬ ‫سازی‬ ‫شبیه‬31‫می‬ ‫باعث‬ ‫کاربری‬ ‫واسطهای‬ .‫نماید‬ ‫نظارت‬ ‫را‬ ‫مختلف‬ ‫سرویس‬‫این‬ ‫از‬ ‫استفاده‬ ‫که‬ ‫شوند‬
Honeypot‫می‬ ‫که‬ ‫سرویسهایی‬ ‫روی‬ ‫است‬ ‫کافی‬ ‫فقط‬ ،‫باشد‬ ‫ساده‬ ‫بسیار‬ ‫ها‬‫ک‬ ‫کلیك‬ ‫گیرند‬ ‫قرار‬ ‫نظارت‬ ‫تحت‬ ‫خواهید‬‫رده‬
‫و‬‫رفتار‬ ‫نحوه‬Honeypot‫نمایید‬ ‫تعیین‬ ‫را‬.

7. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
7
Honeypot‫را‬ ‫کارهایی‬ ،‫شده‬ ‫سازی‬ ‫شبیه‬ ‫سرویسهای‬ ‫که‬ ‫چرا‬ ،‫برخوردارند‬ ‫کمتری‬ ‫خطر‬ ‫از‬ ‫همچنین‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬
‫می‬ ‫هکر‬ ‫که‬‫می‬ ‫محدود‬ ‫دهد‬ ‫انجام‬ ‫تواند‬‫کردن‬ ‫لود‬ ‫برای‬ ‫حقیقی‬ ‫عامل‬ ‫سیستم‬ ‫هیچ‬ .‫کنند‬toolkit‫وجود‬ ‫مهاجم‬ ‫توسط‬ ‫ها‬
‫هیچ‬ ‫و‬ ،‫ندارد‬‫نیست‬ ‫موجود‬ ‫نیز‬ ‫کرد‬ ‫نفوذ‬ ‫آن‬ ‫به‬ ‫بتوان‬ ‫واقعا‬ ‫که‬ ‫سرویسی‬.
‫می‬ ‫را‬ ‫اطالعات‬ ‫از‬ ‫محدودی‬ ‫حجم‬ ‫سرویسها‬ ‫این‬ ‫اما‬.‫هستند‬ ‫محدود‬ ‫آنها‬ ‫با‬ ‫کار‬ ‫در‬ ‫هکرها‬ ‫که‬ ‫چرا‬ ،‫نمایند‬ ‫آوری‬ ‫جمع‬ ‫توانند‬
‫می‬ ‫کار‬ ‫بهتر‬ ‫انتظار‬ ‫مورد‬ ‫حمالت‬ ‫و‬ ‫شده‬ ‫شناخته‬ ‫رفتارهای‬ ‫با‬ ‫مواجهه‬ ‫در‬ ‫سرویسها‬ ‫این‬ ‫همچنین‬‫زمان‬ .‫کنند‬‫هک‬ ‫که‬ ‫ی‬‫کاری‬ ‫رها‬
‫می‬ ‫انجام‬ ‫را‬ ‫منتظره‬ ‫غیر‬ ‫یا‬ ‫ناشناخته‬‫این‬ ،‫دهند‬Honeypot‫فعالیت‬ ‫ثبت‬ ‫یا‬ ،‫مناسب‬ ‫پاسخگویی‬ ،‫هکر‬ ‫فعالیت‬ ‫درك‬ ‫در‬ ‫ها‬
‫می‬ ‫روبرو‬ ‫مشکل‬ ‫با‬‫از‬ ‫مثالهایی‬ ‫عنوان‬ ‫به‬ .‫شوند‬Honeypot‫می‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬‫به‬ ‫توان‬Honeyd،Specter‫و‬ ،
KFSensor‫ن‬ ‫بهتر‬ ‫درك‬ ‫برای‬ .‫کرد‬ ‫اشاره‬‫کار‬ ‫حوه‬Honeypot‫به‬ ‫کوتاهی‬ ‫نگاه‬ ،‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬Honeyd‫می‬
‫اندازیم‬.
‫از‬ ‫مثالی‬Honeypot‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬: Honeyd
Honeyd‫یك‬Honeypot‫آوریل‬ ‫در‬ ‫بار‬ ‫اولین‬ ‫که‬ ‫است‬ ‫باز‬ ‫متن‬2552‫توسط‬«‫پرووس‬ ‫نیلز‬»‫شد‬ ‫عرضه‬. Honeyd
‫دسترس‬ ‫اجازه‬ ‫و‬ ‫بوده‬ ‫رایگان‬ ،‫باز‬ ‫متن‬ ‫حل‬ ‫راه‬ ‫یك‬ ‫عنوان‬ ‫به‬‫این‬ .‫آورد‬ ‫می‬ ‫فراهم‬ ‫را‬ ‫خود‬ ‫منبع‬ ‫کد‬ ‫به‬ ‫کاربران‬ ‫کامل‬ ‫ی‬
Honeypot‫می‬ ،‫است‬ ‫شده‬ ‫طراحی‬ ‫یونیکس‬ ‫سیستمهای‬ ‫برای‬ ‫که‬‫گیر‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫نیز‬ ‫ویندوز‬ ‫سیستمهای‬ ‫در‬ ‫تواند‬.‫د‬
‫می‬ ‫دست‬ ‫از‬ ‫را‬ ‫یونیکس‬ ‫سیستمهای‬ ‫در‬ ‫استفاده‬ ‫مورد‬ ‫ویژگیهای‬ ‫از‬ ‫بسیاری‬ ‫حالت‬ ‫این‬ ‫در‬ ‫البته‬‫دهد‬. Honeyd‫یك‬
Honeypot‫می‬ ‫نصب‬ ‫کامپیوتر‬ ‫یك‬ ‫روی‬ ‫را‬ ‫آن‬ ‫افزار‬ ‫نرم‬ ‫که‬ ‫است‬ ‫کم‬ ‫تعامل‬ ‫با‬‫سیس‬ ‫صدها‬ ‫افزار‬ ‫نرم‬ ‫این‬ ‫سپس‬ .‫کنید‬‫تم‬
‫می‬ ‫سازی‬ ‫شبیه‬ ‫را‬ ‫مختلف‬ ‫سرویس‬ ‫و‬ ‫عامل‬‫می‬ ‫تعیین‬ ‫شما‬ ،‫تنظیمات‬ ‫فایل‬ ‫ویرایش‬ ‫با‬ .‫کند‬‫آدرسه‬ ‫کدام‬ ‫که‬ ‫کنید‬‫ای‬IP
‫توسط‬Honeyd‫سا‬ ‫شبیه‬ ‫که‬ ‫عاملهایی‬ ‫سیستم‬ ‫انواع‬ ،‫گردند‬ ‫کنترل‬‫می‬ ‫زی‬‫شبی‬ ‫سرویسها‬ ‫کدام‬ ‫و‬ ،‫باشند‬ ‫کدامها‬ ‫شوند‬‫ه‬
‫گردند‬ ‫سازی‬.
‫می‬ ‫شما‬ ‫مثال‬ ‫برای‬‫به‬ ‫توانید‬Honeyd‫سیستم‬ ‫یك‬ ‫هسته‬ ‫که‬ ‫بگویید‬Linux 2.4.10‫سرور‬ ‫یك‬ ‫با‬ ‫را‬FTP‫پورت‬ ‫به‬ ‫که‬
23‫می‬ ‫گوش‬‫این‬ ‫به‬ ‫مهاجمان‬ ‫اگر‬ .‫نماید‬ ‫سازی‬ ‫شبیه‬ ‫دهد‬Honeypot‫د‬ ‫که‬ ‫بود‬ ‫خواهند‬ ‫باور‬ ‫این‬ ‫بر‬ ،‫کنند‬ ‫مراجعه‬‫حال‬ ‫ر‬
‫سرویس‬ ‫به‬ ‫مهاجمان‬ ‫اگر‬ .‫هستند‬ ‫لینوکس‬ ‫سیستم‬ ‫یك‬ ‫با‬ ‫تعامل‬FTP‫سرویس‬ ‫یك‬ ‫با‬ ‫که‬ ‫کرد‬ ‫خواهند‬ ‫تصور‬ ،‫شوند‬ ‫متصل‬

8. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
8
‫واقعی‬FTP‫سرویس‬ ‫یك‬ ‫شبیه‬ ‫کامال‬ ‫نظرها‬ ‫بسیاری‬ ‫از‬ ‫شده‬ ‫سازی‬ ‫شبیه‬ ‫اسکریپت‬ .‫هستند‬ ‫تماس‬ ‫در‬FTP‫رفتار‬ ‫واقعی‬
‫ثبت‬ ‫را‬ ‫مهاجم‬ ‫فرد‬ ‫فعالیتهای‬ ‫تمامی‬ ،‫حال‬ ‫عین‬ ‫در‬ ‫و‬ ‫کرده‬‫می‬‫ک‬ ‫نیست‬ ‫برنامه‬ ‫یك‬ ‫از‬ ‫بیش‬ ‫چیزی‬ ‫اسکریپت‬ ‫این‬ ‫البته‬ .‫کند‬‫ه‬
‫می‬ ‫مهاجم‬ ‫از‬ ‫مشخص‬ ‫ورودی‬ ‫یك‬ ‫منتظر‬‫می‬ ‫تولید‬ ‫را‬ ‫ای‬ ‫شده‬ ‫تعیین‬ ‫پیش‬ ‫از‬ ‫خروجی‬ ‫و‬ ‫ماند‬‫کاری‬ ‫مهاجم‬ ‫فرد‬ ‫اگر‬ .‫کند‬
‫برخ‬ ‫خطا‬ ‫پیغام‬ ‫یك‬ ‫صرفا‬ ‫اسکریپت‬ ‫این‬ ،‫باشد‬ ‫نشده‬ ‫ریزی‬ ‫برنامه‬ ‫آن‬ ‫برای‬ ‫شده‬ ‫سازی‬ ‫شبیه‬ ‫اسکریپت‬ ‫که‬ ‫دهد‬ ‫انجام‬‫و‬‫اهد‬
‫گرداند‬.
Honeyd‫برای‬ ‫که‬ ‫است‬ ‫ویژگیهایی‬ ‫دارای‬Honeypot‫این‬ .‫نیست‬ ‫معمول‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬Honeypot‫شبیه‬ ‫تنها‬ ‫نه‬
‫پشته‬ ‫سطح‬ ‫در‬ ‫را‬ ‫عاملها‬ ‫سیستم‬ ‫بلکه‬ ،‫دهد‬ ‫می‬ ‫انجام‬ ‫سرویسها‬ ‫رفتار‬ ‫تغییر‬ ‫وسیله‬ ‫به‬ ‫را‬ ‫عامل‬ ‫سیستم‬ ‫سازی‬IP‫سازی‬ ‫شبیه‬ ‫نیز‬
‫می‬‫روشها‬ ‫از‬ ‫مهاجم‬ ‫فرد‬ ‫یك‬ ‫اگر‬ .‫کند‬‫فعال‬ ‫ی‬fingerprinting‫اسکن‬ ‫امنیتی‬ ‫ابزارهای‬ ‫مانند‬Nmap‫و‬Xprobe
،‫کند‬ ‫استفاده‬Honeyd‫پشته‬ ‫سطح‬ ‫در‬IP‫می‬ ‫پاسخ‬ ‫شما‬ ‫به‬ ‫بخواهید‬ ‫که‬ ‫عاملی‬ ‫سیستم‬ ‫هر‬ ‫عنوان‬ ‫به‬‫خالف‬ ‫بر‬ ‫عالوه‬ ‫به‬ .‫دهد‬
‫اغلب‬Honeypot،‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬Honeyd‫می‬‫آدرس‬ ‫میلیونها‬ ‫تواند‬IP‫نماید‬ ‫کنترل‬ ‫را‬. Honeyd‫با‬ ‫را‬ ‫کار‬ ‫این‬
‫آدرسهای‬ ‫کردن‬ ‫کنترل‬IP‫این‬ ‫که‬ ‫کامپیوترهایی‬Honeypot‫نمی‬ ‫انجام‬ ‫است‬ ‫شده‬ ‫نصب‬ ‫آنها‬ ‫روی‬‫تمامی‬ ‫بلکه‬ ،‫دهد‬
‫آدرسهای‬IP‫می‬ ‫کنترل‬ ‫را‬ ‫شما‬ ‫شبکه‬ ‫روی‬ ‫استفاده‬ ‫بال‬‫زمانیکه‬ .‫کند‬Honeyd‫از‬ ‫یکی‬ ‫به‬ ‫اتصال‬ ‫برای‬ ‫را‬ ‫تالش‬ ‫یك‬
‫آدرسهای‬IP‫می‬ ‫تشخیص‬ ‫استفاده‬ ‫بال‬‫تما‬ ‫آن‬ ،‫دهد‬‫سپس‬ ‫و‬ ،‫زده‬ ‫جا‬ ‫قربانی‬ ‫آن‬ ‫جای‬ ‫به‬ ‫را‬ ‫خود‬ ‫پویا‬ ‫طور‬ ‫به‬ ،‫کرده‬ ‫قطع‬ ‫را‬ ‫س‬
‫می‬ ‫تعامل‬ ‫به‬ ‫مهاجم‬ ‫فرد‬ ‫با‬‫تعامل‬ ‫شانس‬ ‫توجهی‬ ‫قابل‬ ‫طور‬ ‫به‬ ‫قابلیت‬ ‫این‬ .‫پردازد‬Honeyd‫می‬ ‫باال‬ ‫را‬ ‫مهاجم‬ ‫یك‬ ‫با‬‫برد‬.
Honeypot‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬
Honeypot‫با‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬Honeypot‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬‫و‬ ‫عامل‬ ‫سیستم‬ ‫کل‬ ‫آنها‬ ‫که‬ ‫چرا‬ ،‫دارند‬ ‫بسیاری‬ ‫تفاوت‬
‫آورند‬ ‫می‬ ‫فراهم‬ ‫مهاجمان‬ ‫با‬ ‫تعامل‬ ‫برای‬ ‫حقیقی‬ ‫طور‬ ‫به‬ ‫را‬ ‫ها‬ ‫برنامه‬. Honeypot‫سازی‬ ‫شبیه‬ ‫را‬ ‫چیزی‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬
‫نمی‬‫هستند‬ ‫مهاجمان‬ ‫توسط‬ ‫نفوذ‬ ‫آماده‬ ‫که‬ ‫دارند‬ ‫واقعی‬ ‫هایی‬ ‫برنامه‬ ‫که‬ ‫هستند‬ ‫واقعی‬ ‫کامپیوترهایی‬ ‫بلکه‬ ،‫کنند‬.‫مزایای‬
‫از‬ ‫دسته‬ ‫این‬ ‫از‬ ‫استفاده‬Honeypot‫اطالعات‬ ‫از‬ ‫زیادی‬ ‫حجم‬ ‫که‬ ‫اند‬ ‫شده‬ ‫طراحی‬ ‫این‬ ‫برای‬ ‫آنها‬ .‫است‬ ‫توجه‬ ‫قابل‬ ‫بسیار‬ ‫ها‬
‫این‬ .‫آورند‬ ‫دست‬ ‫به‬ ‫را‬Honeypot‫می‬ ‫تنها‬ ‫نه‬ ‫ها‬‫می‬ ‫متصل‬ ‫سیستم‬ ‫یك‬ ‫به‬ ‫که‬ ‫را‬ ‫مهاجمانی‬ ‫توانند‬‫نمای‬ ‫شناسایی‬ ‫شوند‬،‫ند‬
‫می‬ ‫اجازه‬ ‫مهاجمان‬ ‫به‬ ‫بلکه‬‫که‬ ‫دهند‬‫قادر‬ ‫شما‬ ‫نتیجه‬ ‫در‬ .‫کنند‬ ‫پیدا‬ ‫دسترسی‬ ‫عامل‬ ‫سیستم‬ ‫به‬ ‫و‬ ‫کرده‬ ‫نفوذ‬ ‫سرویسها‬ ‫این‬ ‫به‬

9. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
9
‫بود‬ ‫خواهید‬rootkit‫می‬ ‫آپلود‬ ‫سیستمها‬ ‫این‬ ‫به‬ ‫که‬ ‫را‬ ‫مهاجمان‬ ‫این‬ ‫های‬‫حالی‬ ‫در‬ ،‫آورده‬ ‫دست‬ ‫به‬ ‫شوند‬‫با‬ ‫مهاجمان‬ ‫که‬
‫ب‬ ‫زمانیکه‬ ‫و‬ ،‫نموده‬ ‫تحلیل‬ ‫را‬ ‫آنها‬ ‫کلید‬ ‫ضربات‬ ‫هستند‬ ‫تعامل‬ ‫حال‬ ‫در‬ ‫سیستم‬ ‫این‬‫هست‬ ‫ارتباط‬ ‫حال‬ ‫در‬ ‫مهاجمان‬ ‫سایر‬ ‫ا‬‫آنها‬ ‫ند‬
‫می‬ ‫نتیجه‬ ‫در‬ .‫کنید‬ ‫کنترل‬ ‫را‬‫به‬ ‫مهاجمان‬ ‫این‬ ‫به‬ ‫راجع‬ ‫را‬ ‫ارزشمند‬ ‫اطالعات‬ ‫سایر‬ ‫و‬ ،‫سازمان‬ ،‫مهارت‬ ‫میزان‬ ،‫حرکات‬ ‫توانید‬
‫آورید‬ ‫دست‬.
‫که‬ ‫آنجایی‬ ‫از‬ ‫همچنین‬Honeypot‫نمی‬ ‫انجام‬ ‫سازی‬ ‫شبیه‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬‫که‬ ‫اند‬ ‫شده‬ ‫طراحی‬ ‫طوری‬ ،‫دهند‬‫رفتارهای‬
‫از‬ ‫دسته‬ ‫این‬ .‫کنند‬ ‫شناسایی‬ ‫را‬ ‫منتظره‬ ‫غیر‬ ‫یا‬ ‫ناشناخته‬ ،‫جدید‬Honeypot‫کشف‬ ‫قابلیت‬ ‫که‬ ‫اند‬ ‫کرده‬ ‫ثابت‬ ‫بارها‬ ‫و‬ ‫بارها‬ ‫ها‬
‫پروتکلهای‬ ‫از‬ ،‫جدید‬ ‫فعالیتهای‬IP‫زدن‬ ‫تونل‬ ‫تا‬ ‫گرفته‬ ‫پنهانی‬ ‫دستورات‬ ‫کانالهای‬ ‫برای‬ ‫استفاده‬ ‫مورد‬ ‫استاندارد‬ ‫غیر‬IPv6
‫محیط‬ ‫در‬IPv4‫پنهان‬ ‫برای‬‫نیز‬ ‫را‬ ‫آن‬ ‫بهای‬ ‫باید‬ ‫قابلیتها‬ ‫این‬ ‫آوردن‬ ‫دست‬ ‫به‬ ‫برای‬ ‫البته‬ .‫هستند‬ ‫دارا‬ ‫را‬ ‫ارتباطات‬ ‫کردن‬
‫اوال‬ .‫پرداخت‬Honeypot‫واقعی‬ ‫عاملهای‬ ‫سیستم‬ ‫با‬ ‫مهاجمان‬ ‫که‬ ‫آنجایی‬ ‫از‬ .‫دارند‬ ‫باالیی‬ ‫ریسك‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬
‫می‬ ‫روبرو‬‫این‬ ،‫شوند‬Honeypot‫می‬ ‫ها‬‫زدن‬ ‫ضربه‬ ‫و‬ ‫کردن‬ ‫حمله‬ ‫برای‬ ‫توانند‬‫که‬ ‫سیستمهایی‬ ‫سایر‬ ‫به‬Honeypot
‫ثانیا‬ .‫گیرند‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫نیستند‬Honeypot‫که‬ ‫نیست‬ ‫سادگی‬ ‫همین‬ ‫به‬ ‫بار‬ ‫این‬ .‫هستند‬ ‫پیچیده‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬
‫یك‬ ‫آن‬ ‫از‬ ‫پس‬ ‫و‬ ‫کنید‬ ‫نصب‬ ‫افزار‬ ‫نرم‬ ‫یك‬Honeypot‫با‬ ‫تعامل‬ ‫برای‬ ‫را‬ ‫واقعی‬ ‫سیستمهای‬ ‫باید‬ ‫شما‬ ‫بلکه‬ .‫باشید‬ ‫داشته‬
‫مهاجمان‬‫از‬ ‫که‬ ‫مهاجمانی‬ ‫خطر‬ ‫کردن‬ ‫کم‬ ‫برای‬ ‫تالش‬ ‫با‬ ‫همچنین‬ .‫نمایید‬ ‫تنظیم‬ ‫و‬ ‫ساخته‬Honeypot‫می‬ ‫استفاده‬ ‫شما‬-
‫شد‬ ‫خواهد‬ ‫نیز‬ ‫بیشتر‬ ‫پیچیدگی‬ ‫این‬ ،‫کنند‬.
‫از‬ ‫مثال‬ ‫دو‬Honeypot‫از‬ ‫عبارتند‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬Symantec Decoy Server‫و‬Honeynet‫ارائه‬ ‫برای‬ .‫ها‬
‫از‬ ‫بهتری‬ ‫دید‬Honeypot‫با‬ ‫های‬‫توضیح‬ ‫به‬ ‫ادامه‬ ‫در‬ ،‫زیاد‬ ‫تعامل‬Decoy Server‫پرداخت‬ ‫خواهیم‬.
‫از‬ ‫مثالی‬Honeypot‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬: Symantec Decoy Server
Decoy Server‫یك‬Honeypot‫توسط‬ ‫که‬ ‫است‬ ‫تجاری‬Symantec‫می‬ ‫فروش‬ ‫به‬ ‫و‬ ‫شده‬ ‫تولید‬‫سیستم‬ ‫این‬ .‫رسد‬
‫یك‬ ‫عنوان‬ ‫به‬Honeypot‫سیست‬ ،‫است‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫که‬‫نمی‬ ‫سازی‬ ‫شبیه‬ ‫را‬ ‫سرویسها‬ ‫یا‬ ‫و‬ ‫عاملها‬ ‫م‬‫سی‬ ‫بلکه‬ ،‫کند‬‫ستمهای‬
‫می‬ ‫ایجاد‬ ‫مهاجمان‬ ‫با‬ ‫تعامل‬ ‫برقراری‬ ‫برای‬ ‫را‬ ‫حقیقی‬ ‫های‬ ‫برنامه‬ ‫و‬ ‫حقیقی‬‫حاضر‬ ‫حال‬ ‫در‬ .‫کند‬Decoy Server‫صرفا‬
‫عامل‬ ‫سیستم‬ ‫روی‬Solaris‫می‬ ‫کار‬‫سیستم‬ ‫یك‬ ‫روی‬ ‫که‬ ‫است‬ ‫افزاری‬ ‫نرم‬ ، ‫برنامه‬ ‫این‬ .‫کند‬Solaris‫می‬ ‫نصب‬‫شو‬.‫د‬

10. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
10
‫چهار‬ ‫تا‬ ‫و‬ ‫گرفته‬ ‫اختیار‬ ‫در‬ ‫را‬ ‫موجود‬ ‫میزبان‬ ‫سیستم‬ ‫افزار‬ ‫نرم‬ ‫این‬ ‫سپس‬«‫قفس‬»‫می‬ ‫ایجاد‬ ‫یکتا‬‫ق‬ ‫هر‬ ‫که‬ ،‫کند‬‫یك‬ ‫فس‬
Honeypot‫مانند‬ ‫درست‬ ‫مهاجمان‬ .‫داراست‬ ‫را‬ ‫خود‬ ‫به‬ ‫مخصوص‬ ‫فایل‬ ‫سیستم‬ ‫و‬ ‫جدا‬ ‫عامل‬ ‫سیستم‬ ‫یك‬ ‫قفس‬ ‫هر‬ .‫است‬
‫می‬ ‫برقرار‬ ‫ارتباط‬ ‫قفسها‬ ‫این‬ ‫با‬ ‫واقعی‬ ‫عاملهای‬ ‫سیستم‬‫کنند‬‫نمی‬ ‫درك‬ ‫مهاجمان‬ ‫که‬ ‫چیزی‬ .‫ف‬ ‫هر‬ ‫که‬ ‫است‬ ‫این‬ ‫کنند‬‫و‬ ‫عالیت‬
‫توسط‬ ‫آنها‬ ‫کلید‬ ‫صفحه‬ ‫ضربه‬ ‫هر‬Honeypot‫می‬ ‫ضبط‬ ‫و‬ ‫ثبت‬‫شود‬.
Honeypot‫با‬ ‫مقایسه‬ ‫در‬ ‫كم‬ ‫تعامل‬ ‫با‬ ‫های‬Honeypot‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬
‫انتخاب‬ ‫هنگام‬ ‫در‬Honeypot‫نی‬ ‫بهتر‬ ‫دیگری‬ ‫از‬ ‫نوع‬ ‫دو‬ ‫این‬ ‫از‬ ‫یك‬ ‫هیچ‬ ‫که‬ ‫باشید‬ ‫داشته‬ ‫توجه‬‫یك‬ ‫هر‬ ‫بلکه‬ .‫ستند‬‫دارای‬
‫می‬ ‫بهتر‬ ‫کاری‬ ‫برای‬ ‫و‬ ‫بوده‬ ‫معایبی‬ ‫و‬ ‫مزایا‬‫باشند‬.
‫معایب‬ ‫و‬ ‫مزایا‬Honeypot‫و‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬Honeypot‫می‬ ‫را‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬‫کرد‬ ‫بیان‬ ‫زیر‬ ‫شرح‬ ‫به‬ ‫توان‬:
Honeypot‫سرویسها‬ ‫و‬ ‫عاملها‬ ‫سیستم‬ ‫کننده‬ ‫سازی‬ ‫(شبیه‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬)
‫کار‬ ‫به‬ ‫و‬ ‫سازی‬ ‫پیاده‬‫است‬ ‫کامپیوتر‬ ‫یك‬ ‫روی‬ ‫افزار‬ ‫نرم‬ ‫یك‬ ‫نصب‬ ‫سادگی‬ ‫به‬ ‫معموال‬ :‫آسان‬ ‫گیری‬
‫می‬ ‫مهاجمان‬ ‫که‬ ‫کارهایی‬ ‫شده‬ ‫سازی‬ ‫شبیه‬ ‫سرویسهای‬ :‫کم‬ ‫ریسك‬‫نمی‬ ‫یا‬ ‫توانند‬‫می‬ ‫کنترل‬ ‫را‬ ‫دهند‬ ‫انجام‬ ‫توانند‬‫ک‬‫نند‬.
‫از‬ ‫دسته‬ ‫این‬ ‫در‬ ‫آنجاییکه‬ ‫از‬ :‫محدود‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬Honeypot‫در‬ ‫تعامل‬ ‫به‬ ‫مجاز‬ ‫مهاجمان‬ ‫ها‬‫محدودی‬ ‫حد‬
‫می‬ ‫نیز‬ ‫محدودی‬ ‫اطالعات‬ ،‫هستند‬‫آورد‬ ‫بدست‬ ‫آنها‬ ‫به‬ ‫راجع‬ ‫توان‬.
Honeypot‫حقیقی‬ ‫سرویسهای‬ ‫و‬ ‫عاملها‬ ‫سیستم‬ ‫از‬ ‫استفاده‬ ‫با‬ ،‫سازی‬ ‫شبیه‬ ‫(بدون‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬)
‫می‬ ‫آنها‬ ‫گیری‬ ‫کار‬ ‫به‬ ‫و‬ ‫نصب‬‫ترند‬ ‫ساده‬ ‫تجاری‬ ‫های‬ ‫(نسخه‬ ‫باشد‬ ‫سخت‬ ‫تواند‬)
‫مهاجم‬ ‫که‬ ‫موضوع‬ ‫این‬ .‫باال‬ ‫ریسك‬‫می‬ ‫روبرو‬ ‫واقعی‬ ‫عاملهای‬ ‫سیستم‬ ‫با‬ ‫ان‬‫می‬ ‫که‬ ‫شوند‬‫بپردازن‬ ‫تعامل‬ ‫به‬ ‫آن‬ ‫با‬ ‫توانند‬‫مزایا‬ ‫د‬
‫داراست‬ ‫را‬ ‫خود‬ ‫خاص‬ ‫معایب‬ ‫و‬.

11. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
11
‫از‬ ‫دلیل‬ ‫همین‬ ‫به‬ ‫و‬ ‫دارند‬ ‫متفاوتی‬ ‫اهداف‬ ،‫مختلف‬ ‫سازمانهای‬Honeypot‫می‬ ‫استفاده‬ ‫نیز‬ ‫مختلفی‬ ‫های‬‫روال‬ ‫یك‬ .‫کنند‬
‫مانند‬ ‫تجاری‬ ‫سازمانهای‬ ‫که‬ ‫است‬ ‫این‬ ‫معمول‬،‫ها‬ ‫کننده‬ ‫تولید‬ ‫و‬ ،‫فروشان‬ ‫خرده‬ ،‫بانکها‬Honeypot‫را‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬
‫می‬ ‫ترجیح‬ ،‫ساده‬ ‫نگهداری‬ ‫و‬ ،‫آسان‬ ‫گیری‬ ‫کار‬ ‫به‬ ،‫پایین‬ ‫ریسك‬ ‫علت‬ ‫به‬‫از‬ ‫استفاده‬ .‫دهند‬Honeypot‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬
‫مدیری‬ ‫و‬ ‫زیاد‬ ‫تعامل‬ ‫با‬ ‫حلهای‬ ‫راه‬ ‫فرد‬ ‫به‬ ‫منحصر‬ ‫قابلیتهای‬ ‫به‬ ‫که‬ ‫سازمانهایی‬ ‫میان‬ ‫در‬ ‫نیز‬‫دارند‬ ‫احتیاج‬ ‫ریسك‬ ‫ت‬‫تر‬ ‫معمول‬
‫می‬ ‫سازمانها‬ ‫این‬ ‫جمله‬ ‫از‬ .‫است‬‫کرد‬ ‫اشاره‬ ‫آموزشی‬ ‫و‬ ،‫دولتی‬ ،‫نظامی‬ ‫سازمانهای‬ ‫به‬ ‫توان‬.
‫های‬ ‫كاربرد‬Honeypot
Honeypot‫زیاد‬ ‫تعامل‬ ‫با‬ ‫های‬
Honeypot‫می‬ ‫که‬ ‫پذیرند‬ ‫انعطاف‬ ‫بسیار‬ ‫ابزارهایی‬ ‫ها‬‫گیرند.می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫مختلفی‬ ‫اهداف‬ ‫برای‬ ‫توانند‬‫ت‬‫از‬ ‫وانید‬
‫کلی‬ ‫طور‬ ‫به‬ .‫کنید‬ ‫استفاده‬ ‫شماست‬ ‫نیازهای‬ ‫مناسب‬ ‫که‬ ‫نحوی‬ ‫هر‬ ‫به‬ ‫خود‬ ‫امنیتی‬ ‫مهمات‬ ‫انبار‬ ‫در‬ ‫ابزارهایی‬ ‫عنوان‬ ‫به‬ ‫آنها‬
‫می‬‫توان‬Honeypot‫دسته‬ ‫دو‬ ‫در‬ ‫کاربردی‬ ‫ارزش‬ ‫لحاظ‬ ‫از‬ ‫را‬ ‫ها‬«‫تجاری‬»‫و‬«‫تحقیقاتی‬»‫معموال‬ .‫کرد‬ ‫بندی‬ ‫دسته‬
Honeypot‫تج‬ ‫اهداف‬ ‫برای‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫اری‬‫درحالیکه‬ ،‫گیرند‬Honeypot‫تعامل‬ ‫با‬ ‫های‬
‫می‬ ‫استفاده‬ ‫تحقیقاتی‬ ‫مقاصد‬ ‫برای‬ ‫زیاد‬‫انواع‬ ‫از‬ ‫یك‬ ‫هر‬ ‫حال‬ ‫هر‬ ‫به‬ .‫شوند‬Honeypot‫می‬‫اهداف‬ ‫از‬ ‫یك‬ ‫هر‬ ‫برای‬ ‫توانند‬
‫که‬ ‫زمانی‬ .‫نیستند‬ ‫دیگری‬ ‫از‬ ‫برتر‬ ،‫اهداف‬ ‫این‬ ‫از‬ ‫یك‬ ‫هیچ‬ ‫و‬ ‫گیرند‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫فوق‬Honeypot‫اهداف‬ ‫برای‬ ‫ها‬
‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫تجاری‬‫می‬ ،‫گیرند‬‫تشخیص‬ ،‫حمالت‬ ‫از‬ ‫جلوگیری‬ :‫نمایند‬ ‫محافظت‬ ‫روش‬ ‫سه‬ ‫به‬ ‫سازمانها‬ ‫از‬ ‫توانند‬
‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫تحقیقاتی‬ ‫اهداف‬ ‫برای‬ ‫ه‬ ‫زمانیك‬ ‫اما‬ .‫حمالت‬ ‫به‬ ‫پاسخگویی‬ ‫و‬ ،‫حمالت‬‫جمع‬ ‫را‬ ‫اطالعات‬ ،‫گیرند‬
‫می‬ ‫آوری‬‫ارز‬ ‫اطالعات‬ ‫این‬ .‫کنند‬‫بخواهند‬ ‫است‬ ‫ممکن‬ ‫سازمانها‬ ‫برخی‬ .‫دارند‬ ‫گوناگون‬ ‫سازمانهای‬ ‫برای‬ ‫مختلفی‬ ‫های‬ ‫ش‬
‫مند‬ ‫عالقه‬ ‫زودهنگام‬ ‫های‬ ‫پیشگیری‬ ‫و‬ ‫هشدارها‬ ‫به‬ ‫دیگر‬ ‫برخی‬ ‫است‬ ‫ممکن‬ ‫حالیکه‬ ‫در‬ ،‫کنند‬ ‫مطالعه‬ ‫را‬ ‫مهاجم‬ ‫راهکارهای‬
‫باشند‬.

12. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
12
‫حمالت‬ ‫از‬ ‫جلوگیری‬
Honeypot‫می‬ ‫ها‬‫حمالت‬ ‫بروز‬ ‫از‬ ‫مختلف‬ ‫روشهای‬ ‫به‬ ‫توانند‬‫مثال‬ ‫برای‬ .‫کنند‬ ‫جلوگیری‬Honeypot‫می‬ ‫ها‬‫از‬ ‫توانند‬
‫می‬ ‫آغاز‬ ‫کرمها‬ ‫وسیله‬ ‫به‬ ‫که‬ ‫حمالتی‬ ‫مانند‬ ‫خودکار‬ ‫حمالت‬‫هستند‬ ‫ابزارهایی‬ ‫بر‬ ‫مبتنی‬ ‫حمالت‬ ‫این‬ .‫نمایند‬ ‫پیشگیری‬ ‫شوند‬
‫می‬ ‫پذیر‬ ‫آسیب‬ ‫سیستمهای‬ ‫دنبال‬ ‫به‬ ‫و‬ ‫کرده‬ ‫اسکن‬ ‫را‬ ‫شبکه‬ ‫کل‬ ‫تصادفی‬ ‫صورت‬ ‫به‬ ‫که‬‫سی‬ ‫این‬ ‫اگر‬ .‫گردند‬‫پیدا‬ ‫ستمها‬،‫شوند‬
‫می‬ ‫دست‬ ‫به‬ ‫را‬ ‫آن‬ ‫کنترل‬ ‫و‬ ‫کرده‬ ‫حمله‬ ‫سیستم‬ ‫آن‬ ‫به‬ ‫خودکار‬ ‫ابزارهای‬ ‫این‬‫گیرند‬.Honeypot‫پروسه‬ ‫کردن‬ ‫کند‬ ‫با‬ ‫ها‬
‫می‬ ‫کمك‬ ‫حمالتی‬ ‫چنین‬ ‫برابر‬ ‫در‬ ‫دفاع‬ ‫به‬ ‫آن‬ ‫توقف‬ ‫حتی‬ ‫و‬ ‫اسکن‬‫این‬ .‫کنند‬Honeypot‫نام‬ ‫به‬ ‫که‬ ‫ها‬«Honeypot
‫چسبناك‬ ‫های‬»‫فضای‬ ،‫معروفند‬IP‫کنترل‬ ‫را‬ ‫استفاده‬ ‫بدون‬‫می‬‫این‬ ‫که‬ ‫زمانی‬ .‫کنند‬Honeypot‫اسکن‬ ‫فعالیت‬ ‫یك‬ ‫با‬ ‫ها‬
‫می‬ ‫روبرو‬‫می‬ ‫کند‬ ‫را‬ ‫مهاجم‬ ‫کار‬ ‫سرعت‬ ‫و‬ ‫کرده‬ ‫تعامل‬ ‫به‬ ‫شروع‬ ،‫شوند‬‫ترفندهای‬ ‫مختلف‬ ‫انواع‬ ‫با‬ ‫را‬ ‫کار‬ ‫این‬ ‫آنها‬ .‫کنند‬
TCP‫می‬ ‫انجام‬ ‫صفر‬ ‫اندازه‬ ‫با‬ ‫پنجره‬ ‫از‬ ‫استفاده‬ ‫مانند‬‫از‬ ‫مثال‬ ‫یك‬ .‫دهند‬Honeypot،‫چسبناك‬ ‫های‬La Brea Tar pit
‫است‬. Honeypot‫می‬ ‫حتی‬ .‫هستند‬ ‫کم‬ ‫تعامل‬ ‫با‬ ‫دسته‬ ‫از‬ ‫معموال‬ ‫چسبناك‬ ‫های‬‫را‬ ‫آنها‬ ‫توان‬Honeypot‫تعامل‬ ‫بدون‬
‫می‬ ‫متوقف‬ ‫و‬ ‫کند‬ ‫را‬ ‫مهاجم‬ ‫که‬ ‫چرا‬ ،‫دانست‬‫سازند‬.
‫می‬ ‫شما‬‫از‬ ‫استفاده‬ ‫با‬ ‫توانید‬Honeypot.‫نمایید‬ ‫محافظت‬ ‫نیز‬ ‫خودکار‬ ‫غیر‬ ‫انسانی‬ ‫حمالت‬ ‫برابر‬ ‫در‬ ‫خود‬ ‫شبکه‬ ‫از‬ ‫ها‬‫ا‬‫ین‬
‫می‬ ‫تلف‬ ‫را‬ ‫آنها‬ ‫منابع‬ ‫و‬ ‫زمان‬ ‫و‬ ‫کرده‬ ‫گیج‬ ‫را‬ ‫مهاجمان‬ ‫شما‬ ‫روش‬ ‫این‬ ‫در‬ .‫است‬ ‫تهدید‬ ‫یا‬ ‫فریب‬ ‫بر‬ ‫مبتنی‬ ‫ایده‬‫کنی‬‫طور‬ ‫به‬ .‫د‬
‫فعالیت‬ ‫آن‬ ‫کردن‬ ‫متوقف‬ ‫و‬ ‫پاسخگویی‬ ‫برای‬ ‫نتیجه‬ ‫در‬ ‫و‬ ‫داده‬ ‫تشخیص‬ ‫را‬ ‫مهاجم‬ ‫فعالیت‬ ‫که‬ ‫است‬ ‫قادر‬ ‫شما‬ ‫سازمان‬ ‫همزمان‬
‫موضوع‬ ‫این‬ .‫دارد‬ ‫اختیار‬ ‫در‬ ‫کافی‬ ‫زمان‬‫می‬ ‫حتی‬‫از‬ ‫شما‬ ‫سازمان‬ ‫که‬ ‫بدانند‬ ‫مهاجمان‬ ‫اگر‬ .‫رود‬ ‫فراتر‬ ‫نیز‬ ‫گام‬ ‫یك‬ ‫تواند‬
Honeypot‫می‬ ‫استفاده‬‫سیستمها‬ ‫کدام‬ ‫که‬ ‫ندانند‬ ‫ولی‬ ‫کند‬Honeypot‫کردن‬ ‫حمله‬ ‫از‬ ‫کلی‬ ‫طور‬ ‫به‬ ‫است‬ ‫ممکن‬ ،‫هستند‬
‫صورت‬ ‫این‬ ‫در‬ .‫کنند‬ ‫صرفنظر‬ ‫شما‬ ‫شبکه‬ ‫به‬Honeypot‫رفت‬ ‫شمار‬ ‫به‬ ‫مهاجمان‬ ‫برای‬ ‫تهدید‬ ‫عامل‬ ‫یك‬‫نمونه‬ ‫یك‬ .‫است‬ ‫ه‬
‫از‬Honeypot،‫اند‬ ‫شده‬ ‫طراحی‬ ‫کار‬ ‫این‬ ‫برای‬ ‫که‬ ‫هایی‬Deception Toolkit‫است‬.
‫حمالت‬ ‫تشخیص‬

13. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
13
‫که‬ ‫دیگر‬ ‫راه‬ ‫یك‬Honeypot‫می‬ ‫محافظت‬ ‫شما‬ ‫سازمان‬ ‫از‬ ‫آن‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫ها‬‫آنجایی‬ ‫از‬ .‫است‬ ‫حمالت‬ ‫تشخیص‬ ،‫کنند‬
‫می‬ ‫مشخص‬ ‫را‬ ‫امنیتی‬ ‫نقص‬ ‫یا‬ ‫و‬ ‫اشکال‬ ‫یك‬ ،‫تشخیص‬ ‫که‬‫حائز‬ ،‫کند‬‫چه‬ ‫تا‬ ‫سازمان‬ ‫یك‬ ‫که‬ ‫این‬ ‫از‬ ‫صرفنظر‬ .‫است‬ ‫اهمیت‬
‫و‬ ‫درگیرند‬ ‫امنیت‬ ‫پروسه‬ ‫در‬ ‫انسانی‬ ‫نیروی‬ ‫حداقل‬ ‫که‬ ‫چرا‬ .‫دارند‬ ‫وجود‬ ‫امنیتی‬ ‫نقایص‬ ‫و‬ ‫اشکاالت‬ ‫همواره‬ ،‫باشد‬ ‫امن‬ ‫اندازه‬
‫می‬ ‫شما‬ ،‫حمالت‬ ‫تشخیص‬ ‫با‬ .‫سازند‬ ‫دردسر‬ ‫همیشه‬ ‫انسانی‬ ‫خطاهای‬‫خرا‬ ‫و‬ ،‫کرده‬ ‫پیدا‬ ‫دسترسی‬ ‫آنها‬ ‫به‬ ‫سرعت‬ ‫به‬ ‫توانید‬‫ب‬‫ی‬
‫نمایید‬ ‫کم‬ ‫یا‬ ‫ساخته‬ ‫متوقف‬ ‫را‬ ‫آنها‬.
‫الگهای‬ ‫و‬ ‫نفوذ‬ ‫تشخیص‬ ‫سیستم‬ ‫سنسورهای‬ ‫مانند‬ ‫تکنولوژیهایی‬ .‫است‬ ‫سختی‬ ‫بسیار‬ ‫کار‬ ‫تشخیص‬ ‫که‬ ‫است‬ ‫شده‬ ‫ثابت‬
‫تشخیص‬ ‫خطای‬ ‫درصد‬ ‫و‬ ‫کرده‬ ‫تولید‬ ‫زیادی‬ ‫بسیار‬ ‫های‬ ‫داده‬ ‫تکنولوژیها‬ ‫این‬ .‫نیستند‬ ‫موثر‬ ‫چندان‬ ‫مختلف‬ ‫دالیل‬ ‫به‬ ،‫سیستمها‬
‫آن‬ ‫نادرست‬ ‫مثبت‬‫نمی‬ ‫و‬ ‫نیستند‬ ‫جدید‬ ‫حمالت‬ ‫تشخیص‬ ‫به‬ ‫قادر‬ ‫تکنولوژیها‬ ‫این‬ ‫همچنین‬ .‫باالست‬ ‫بسیار‬‫ت‬‫محیطهای‬ ‫در‬ ‫وانند‬
‫یا‬ ‫شده‬ ‫رمز‬IPv6‫معمول‬ ‫طور‬ ‫به‬ .‫کنند‬ ‫کار‬Honeypot‫چرا‬ .‫هستند‬ ‫تشخیص‬ ‫برای‬ ‫حل‬ ‫راه‬ ‫بهترین‬ ،‫کم‬ ‫تعامل‬ ‫با‬ ‫های‬
‫این‬ ‫نگهداری‬ ‫و‬ ‫گرفتن‬ ‫کار‬ ‫به‬ ‫که‬Honeypot‫مقا‬ ‫در‬ ‫و‬ ‫بوده‬ ‫تر‬ ‫ساده‬ ‫ها‬‫با‬ ‫یسه‬Honeypot‫ریسك‬ ،‫باال‬ ‫تعامل‬ ‫با‬ ‫های‬
‫دارند‬ ‫کمتری‬.
‫حمالت‬ ‫به‬ ‫پاسخگویی‬
Honeypot‫می‬ ‫نیز‬ ‫حمالت‬ ‫به‬ ‫پاسخگویی‬ ‫با‬ ‫ها‬‫امنیتی‬ ‫مشکل‬ ‫یك‬ ‫سازمان‬ ‫یك‬ ‫که‬ ‫زمانی‬ .‫کنند‬ ‫کمك‬ ‫سازمانها‬ ‫به‬ ‫توانند‬
‫می‬ ‫تشخیص‬ ‫را‬‫می‬ ‫معموال‬ ‫مساله‬ ‫این‬ ‫دهد؟‬ ‫پاسخ‬ ‫آن‬ ‫به‬ ‫باید‬ ‫چگونه‬ ،‫دهد‬‫چالش‬ ‫از‬ ‫یکی‬ ‫تواند‬‫ی‬ ‫مسائل‬ ‫برانگیزترین‬‫ك‬
‫چقدر‬ ‫اینکه‬ ‫یا‬ ‫و‬ ،‫اند‬ ‫آمده‬ ‫آنجا‬ ‫به‬ ‫چگونه‬ ،‫هستند‬ ‫کسانی‬ ‫چه‬ ‫مهاجمان‬ ‫اینکه‬ ‫درباره‬ ‫کمی‬ ‫اطالعات‬ ‫معموال‬ .‫باشد‬ ‫سازمان‬
‫حیاتی‬ ‫بسیار‬ ‫مهاجمان‬ ‫های‬ ‫فعالیت‬ ‫مورد‬ ‫در‬ ‫دقیق‬ ‫اطالعات‬ ‫داشتن‬ ،‫شرایط‬ ‫این‬ ‫در‬ .‫دارد‬ ‫وجود‬ ‫اند‬ ‫کرده‬ ‫ایجاد‬ ‫تخریب‬
‫پاسخگ‬ ‫با‬ ‫مساله‬ ‫دو‬ .‫است‬‫استفاده‬ ‫سوء‬ ‫مورد‬ ‫معموال‬ ‫که‬ ‫هایی‬ ‫سیستم‬ ‫از‬ ‫بسیاری‬ ‫اینکه‬ ‫اول‬ .‫است‬ ‫شده‬ ‫آمیخته‬ ‫رویداد‬ ‫به‬ ‫ویی‬
‫می‬ ‫قرار‬‫نمی‬ ‫گیرند‬‫به‬ ،‫سازمان‬ ‫یك‬ ‫سرور‬ ‫میل‬ ‫مانند‬ ،‫تجاری‬ ‫های‬ ‫سیستم‬ .‫گردند‬ ‫خارج‬ ‫شبکه‬ ‫از‬ ‫شدن‬ ‫تحلیل‬ ‫برای‬ ‫توانند‬
‫ام‬ ‫متخصصان‬ ‫است‬ ‫ممکن‬ ،‫شود‬ ‫هك‬ ‫سیستم‬ ‫این‬ ‫اگر‬ ‫حتی‬ ‫که‬ ‫هستند‬ ‫مهم‬ ‫حدی‬‫خارج‬ ‫شبکه‬ ‫از‬ ‫را‬ ‫سیستم‬ ‫نتوانند‬ ‫نیت‬‫کنند‬
‫تجاری‬ ‫سرویسهای‬ ‫هنوز‬ ‫که‬ ‫حالی‬ ‫در‬ ‫زنده‬ ‫سیستم‬ ‫تحلیل‬ ‫به‬ ‫مجبورند‬ ‫آنها‬ ،‫کار‬ ‫این‬ ‫جای‬ ‫به‬ .‫نمایند‬ ‫بحث‬ ‫آن‬ ‫تحلیل‬ ‫برای‬ ‫و‬

14. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
14
‫می‬ ‫ارائه‬ ‫را‬‫می‬ ‫باعث‬ ‫موضوع‬ ‫این‬ .‫بپردازند‬ ،‫کند‬‫تشخیص‬ ‫و‬ ،‫آمده‬ ‫بار‬ ‫به‬ ‫خسارت‬ ‫میزان‬ ،‫داده‬ ‫رخ‬ ‫که‬ ‫اتفاقی‬ ‫تحلیل‬ ‫که‬ ‫شود‬
‫باشد‬ ‫سخت‬ ‫دیگر‬ ‫های‬ ‫سیستم‬ ‫به‬ ‫مهاجم‬ ‫نفوذ‬.
‫اینکه‬ ‫تشخیص‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫داده‬ ‫آلودگی‬ ‫حدی‬ ‫به‬ ،‫گردد‬ ‫خارج‬ ‫شبکه‬ ‫از‬ ‫سیستم‬ ‫اگر‬ ‫حتی‬ ‫که‬ ‫است‬ ‫این‬ ‫دیگر‬ ‫مشکل‬
‫فعالیت‬ ‫مورد‬ ‫در‬ ‫زیاد‬ ‫بسیار‬ ‫های‬ ‫داده‬ ،‫داده‬ ‫آلودگی‬ ‫از‬ ‫منظور‬ .‫است‬ ‫سخت‬ ‫بسیار‬ ‫است‬ ‫داده‬ ‫انجام‬ ‫کاری‬ ‫چه‬ ‫مهاجم‬ ‫فرد‬
‫گوناگون(م‬ ‫های‬)‫قبیل‬ ‫این‬ ‫از‬ ‫مسائلی‬ ‫و‬ ،‫داده‬ ‫پایگاه‬ ‫در‬ ‫شده‬ ‫نوشته‬ ‫فایلهای‬ ،‫ایمیل‬ ‫حسابهای‬ ‫خواندن‬ ،‫کاربران‬ ‫ورود‬ ‫انند‬
‫می‬ ‫باعث‬ ‫که‬ ‫است‬‫باشد‬ ‫سخت‬ ‫مهاجم‬ ‫فرد‬ ‫فعالیتهای‬ ‫از‬ ‫روزانه‬ ‫معمول‬ ‫های‬ ‫فعالیت‬ ‫تشخیص‬ ‫شود‬.
Honeypot‫می‬ ‫آنها‬ .‫دارند‬ ‫حل‬ ‫راه‬ ‫مشکالت‬ ‫این‬ ‫دوی‬ ‫هر‬ ‫برای‬ ‫ها‬‫سهو‬ ‫و‬ ‫سرعت‬ ‫به‬ ‫توانند‬‫تا‬ ‫گردند‬ ‫خارج‬ ‫شبکه‬ ‫از‬ ‫لت‬
‫های‬ ‫فعالیت‬ ‫فقط‬ ‫ها‬ ‫سیستم‬ ‫این‬ ‫که‬ ‫آنجایی‬ ‫از‬ ‫همچنین‬ .‫گیرد‬ ‫انجام‬ ‫روزانه‬ ‫کارهای‬ ‫بر‬ ‫تاثیر‬ ‫بدون‬ ‫کامل‬ ‫تحلیل‬ ‫یك‬
‫می‬ ‫ثبت‬ ‫را‬ ‫نشده‬ ‫تایید‬ ‫یا‬ ‫خرابکارانه‬‫شون‬ ‫بررسی‬ ‫باید‬ ‫کمتری‬ ‫بسیار‬ ‫های‬ ‫داده‬ ‫و‬ ‫بود‬ ‫خواهد‬ ‫تر‬ ‫ساده‬ ‫بسیار‬ ‫تحلیل‬ ‫کار‬ ،‫کنند‬.‫د‬
‫ارزش‬Honeypot‫تا‬ ‫دهند‬ ‫قرار‬ ‫سازمان‬ ‫اختیار‬ ‫در‬ ‫را‬ ‫پرفایده‬ ‫و‬ ‫عمیق‬ ‫اطالعات‬ ‫سرعت‬ ‫به‬ ‫قادرند‬ ‫آنها‬ ‫که‬ ‫است‬ ‫این‬ ‫به‬ ‫ها‬
‫دهد‬ ‫پاسخ‬ ‫رویداد‬ ‫یك‬ ‫به‬ ‫بتواند‬. Honeypot‫پاسخگویی‬ ‫برای‬ .‫است‬ ‫پاسخگویی‬ ‫برای‬ ‫گزینه‬ ‫بهترین‬ ‫باال‬ ‫تعامل‬ ‫با‬ ‫های‬
‫انجام‬ ‫آنها‬ ‫که‬ ‫کاری‬ ‫مورد‬ ‫در‬ ‫عمیقی‬ ‫دانش‬ ‫باید‬ ‫شما‬ ،‫نفوذگران‬ ‫به‬‫داشته‬ ‫آنها‬ ‫استفاده‬ ‫مورد‬ ‫ابزارهای‬ ‫و‬ ،‫نفوذ‬ ‫شیوه‬ ،‫اند‬ ‫داده‬
‫به‬ ‫احتیاج‬ ‫شما‬ ،‫ها‬ ‫داده‬ ‫نوع‬ ‫این‬ ‫آوردن‬ ‫دست‬ ‫به‬ ‫برای‬ .‫باشید‬Honeypot‫دارید‬ ‫باال‬ ‫تعامل‬ ‫با‬ ‫های‬.
‫از‬ ‫استفاده‬Honeypot‫تحقیقاتی‬ ‫مقاصد‬ ‫برای‬ ‫ها‬
،‫شد‬ ‫اشاره‬ ‫این‬ ‫از‬ ‫پیش‬ ‫که‬ ‫همانطور‬Honeypot‫می‬ ‫ها‬‫تح‬ ‫مقاصد‬ ‫برای‬ ‫توانند‬‫این‬ ‫به‬ .‫گیرند‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫نیز‬ ‫قیقاتی‬
‫آن‬ ‫آوری‬ ‫جمع‬ ‫به‬ ‫قادر‬ ‫کمتر‬ ‫دیگر‬ ‫تکنولوژیهای‬ ‫که‬ ‫آید‬ ‫می‬ ‫دست‬ ‫به‬ ‫تهدیدات‬ ‫مورد‬ ‫در‬ ‫ارزشمندی‬ ‫اطالعات‬ ‫ترتیب‬
‫زمانی‬ .‫است‬ ‫مجازی‬ ‫حمالت‬ ‫مورد‬ ‫در‬ ‫آگاهی‬ ‫یا‬ ‫اطالعات‬ ‫کمبود‬ ،‫امنیت‬ ‫متخصصان‬ ‫مشکالت‬ ‫بزرگترین‬ ‫از‬ ‫یکی‬ .‫هستند‬
‫ن‬ ‫را‬ ‫دشمن‬ ‫شما‬ ‫که‬‫می‬‫می‬ ‫چگونه‬ ،‫شناسید‬‫دهید؟‬ ‫تشکیل‬ ‫دفاعی‬ ‫دیوار‬ ‫او‬ ‫برابر‬ ‫در‬ ‫خواهید‬Honeypot‫این‬ ‫تحقیقاتی‬ ‫های‬
‫می‬ ‫حل‬ ‫تهدیدات‬ ‫مورد‬ ‫در‬ ‫اطالعاتی‬ ‫آوری‬ ‫جمع‬ ‫با‬ ‫را‬ ‫مشکل‬‫می‬ ‫سازمانها‬ ‫سپس‬ .‫کنند‬‫مقاصد‬ ‫برای‬ ‫اطالعات‬ ‫این‬ ‫از‬ ‫توانند‬

15. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
15
‫مه‬ ‫شناسایی‬ ،‫جدید‬ ‫روشهای‬ ‫و‬ ‫ابزارها‬ ‫شناسایی‬ ،‫تحلیل‬ ‫مانند‬ ‫مختلفی‬،‫جلوگیری‬ ‫و‬ ‫اولیه‬ ‫هشدارهای‬ ،‫آنها‬ ‫جوامع‬ ‫و‬ ‫اجمان‬
‫کنند‬ ‫استفاده‬ ‫مهاجمان‬ ‫های‬ ‫انگیزه‬ ‫درك‬ ‫یا‬ ‫و‬.
‫در‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬ ‫های‬ ‫مکانیزم‬Honeypot
‫قرار‬ ‫هکرها‬ ‫و‬ ‫مهاجمان‬ ‫استفاده‬ ‫سوء‬ ‫مورد‬ ‫که‬ ‫است‬ ‫شده‬ ‫طراحی‬ ‫منظور‬ ‫این‬ ‫به‬ ‫صرفا‬ ‫که‬ ‫سیستمی‬ ‫در‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬
‫صورتی‬ ‫به‬ ‫باید‬ ،‫گیرد‬‫فعالیت‬ ‫جدی‬ ‫تحلیل‬ ‫اینکه‬ ‫بر‬ ‫عالوه‬ ‫که‬ ‫باشد‬‫می‬ ‫ممکن‬ ‫را‬ ‫ها‬‫هک‬ ‫کار‬ ‫مزاحم‬ ‫حال‬ ‫عین‬ ‫در‬ ،‫سازد‬‫رها‬
‫از‬ ‫که‬ ‫هایی‬ ‫شبکه‬ ‫در‬ .‫نگردد‬ ‫نیز‬Honeypot‫به‬‫منظو‬‫می‬ ‫استفاده‬ ‫تهدیدات‬ ‫و‬ ‫حمالت‬ ‫تحلیل‬ ‫و‬ ‫تشخیص‬ ‫ر‬‫داده‬ ،‫کنند‬‫ها‬
‫می‬‫خود‬ ‫معایب‬ ‫و‬ ‫مزایا‬ ‫هریك‬ ‫که‬ ‫شوند‬ ‫آوری‬ ‫جمع‬ ‫مختلف‬ ‫نقطه‬ ‫سه‬ ‫در‬ ‫توانند‬‫مکانیزم‬ ‫سه‬ ،‫اساس‬ ‫این‬ ‫بر‬ .‫داراست‬ ‫را‬
‫در‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬ ‫برای‬ ‫مختلف‬Honeypot‫ها‬‫تعریف‬‫می‬‫شود‬:
1-‫مبتنی‬‫بر‬‫میزبان‬
‫می‬ ‫آوری‬ ‫جمع‬ ‫است‬ ‫گرفته‬ ‫قرار‬ ‫استفاده‬ ‫سوء‬ ‫مورد‬ ‫که‬ ‫میزبانی‬ ‫روی‬ ‫بر‬ ‫که‬ ‫هایی‬ ‫داده‬‫ر‬ ‫پتانسیل‬ ‫بیشترین‬ ،‫شوند‬‫ثبت‬ ‫برای‬ ‫ا‬
‫دستورات‬ ،‫خروجی‬ ‫و‬ ‫ورودی‬ ‫ارتباطات‬‫دارا‬ ‫اجرا‬ ‫حال‬ ‫در‬ ‫های‬ ‫پردازه‬ ‫و‬ ،‫دستور‬ ‫خط‬ ‫طریق‬ ‫از‬ ‫میزبان‬ ‫روی‬ ‫بر‬ ‫شده‬ ‫وارد‬
‫الگ‬ ‫دنبال‬ ‫به‬ ‫معموال‬ ‫نفوذگر‬ ‫فرد‬ ‫که‬ ‫چرا‬ .‫دارد‬ ‫همراه‬ ‫به‬ ‫نیز‬ ‫را‬ ‫خطر‬ ‫بیشترین‬ ‫روش‬ ‫این‬ ‫متاسفانه‬ .‫هستند‬‫و‬ ‫ها‬‫ابزارهای‬ ‫یا‬
‫می‬ ‫امنیتی‬‫می‬ ‫سعی‬ ‫و‬ ‫گردد‬‫را‬ ‫خود‬ ‫حضور‬ ‫بتواند‬ ‫تا‬ ‫نماید‬ ‫غیرفعال‬ ‫را‬ ‫آنها‬ ‫کند‬‫د‬ ‫آوری‬ ‫جمع‬ ،‫ترتیب‬ ‫این‬ ‫به‬ .‫کند‬ ‫پنهان‬‫اده‬
‫می‬ ‫ها‬‫مغشوش‬ ‫کامال‬ ‫را‬ ‫آمده‬ ‫دست‬ ‫به‬ ‫نتایج‬ ‫که‬ ‫طوری‬ ‫به‬ ،‫گردد‬ ‫تغییر‬ ‫دستخوش‬ ‫یا‬ ‫و‬ ‫شده‬ ‫متوقف‬ ‫هکر‬ ‫فرد‬ ‫توسط‬ ‫تواند‬
‫مثال‬ ‫عنوان‬ ‫به‬ .‫نماید‬‫یك‬ ‫روی‬ ‫بر‬ ‫فعالیت‬ ‫ثبت‬ ‫برای‬ ‫استفاده‬ ‫مورد‬ ‫ابزارهای‬ ‫از‬ ‫هایی‬Honeypot‫می‬‫توان‬‫به‬‫موارد‬‫زیر‬
‫اشاره‬‫ک‬‫رد‬:
‫الگ‬)‫است‬ ‫نفوذگر‬ ‫یك‬ ‫هدف‬ ‫اولین‬ ‫نوعا‬ ‫(که‬ ‫عامل‬ ‫سیستم‬ ‫سیستمی‬ ‫های‬
‫سیستم‬‫مانند‬ ‫بسته‬ ‫آوری‬ ‫جمع‬ ‫قابلیت‬ ‫با‬ ‫نفوذ‬ ‫تشخیص‬ ‫های‬Snort
‫مانند‬ ‫ها‬ ‫بسته‬ ‫تحلیل‬ ‫و‬ ‫آوری‬ ‫جمع‬ ‫ابزارهای‬Ethernal

16. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
16
2-‫مبتنی‬‫بر‬‫شبکه‬
‫امن‬ ‫حل‬ ‫راه‬ ‫یك‬‫این‬ ‫ها‬ ‫داده‬ ‫آوری‬ ‫جمع‬ ‫برای‬ ‫تر‬ ‫پیچیده‬ ‫حال‬ ‫عین‬ ‫در‬ ‫و‬ ‫تر‬‫که‬ ‫است‬Honeypot‫صورت‬ ‫به‬ ‫را‬ ‫ها‬ ‫داده‬ ،
‫می‬ ‫اجازه‬ ‫ما‬ ‫به‬ ‫حل‬ ‫راه‬ ‫این‬ .‫نماید‬ ‫ارسال‬ ‫دیگر‬ ‫سرور‬ ‫یك‬ ‫برای‬ ‫بیشتر‬ ‫تحلیل‬ ‫برای‬ ‫و‬ ‫کرده‬ ‫آوری‬ ‫جمع‬ ‫پنهانی‬‫ده‬‫داده‬ ‫که‬ ‫د‬
‫توسط‬ ‫شده‬ ‫آوری‬ ‫جمع‬ ‫های‬Honeypot‫در‬ ‫سرور‬ ‫این‬ ‫که‬ ‫است‬ ‫این‬ ‫بر‬ ‫فرض‬ .‫کنیم‬ ‫آرشیو‬ ‫دیگری‬ ‫سیستم‬ ‫روی‬ ‫بر‬ ‫را‬
‫مهاج‬ ‫حمالت‬ ‫برابر‬‫بیرون‬ ‫به‬ ‫اطالعات‬ ‫جریان‬ ‫متوجه‬ ‫نفوذگر‬ ‫فرد‬ ‫است‬ ‫ممکن‬ ‫که‬ ‫چرا‬ ،‫است‬ ‫شده‬ ‫ایمن‬ ‫مان‬
‫از‬Honeypot‫ابزارهایی‬ ‫از‬ ‫استفاده‬ ‫با‬ .‫نماید‬ ‫متوقف‬ ‫را‬ ‫اطالعات‬ ‫ارسال‬ ‫و‬ ‫آوری‬ ‫جمع‬ ‫مکانیزم‬ ‫کند‬ ‫سعی‬ ‫و‬ ‫شده‬
‫مانند‬Sebek‫می‬ ،‫روی‬ ‫بر‬ ‫را‬ ‫داده‬ ‫آوری‬ ‫جمع‬ ‫سرویس‬ ‫توانیم‬Honeypot‫ها‬ ‫داده‬ ‫و‬ ‫کنیم‬ ‫پنهان‬‫یك‬ ‫طریق‬ ‫از‬ ‫را‬
‫ارتباط‬UDP.‫نماییم‬ ‫ذخیره‬ ‫آن‬ ‫روی‬ ‫بر‬ ‫و‬ ‫کرده‬ ‫ارسال‬ ‫دیگر‬ ‫سرور‬ ‫یك‬ ‫به‬Sebek‫و‬ ‫کرده‬ ‫ضبط‬ ‫را‬ ‫نفوذگر‬ ‫فرد‬ ‫فعالیت‬
‫می‬ ‫ارسال‬ ‫اینترنت‬ ‫روی‬ ‫بر‬ ‫جایی‬ ‫هر‬ ‫در‬ ‫سرور‬ ‫یك‬ ‫یا‬ ‫شبکه‬ ‫داخل‬ ‫در‬ ‫سرور‬ ‫یك‬ ‫به‬ ‫را‬ ‫آن‬ ‫پنهانی‬ ‫صورت‬ ‫به‬‫ا‬ .‫کند‬‫موضوع‬ ‫ین‬
.‫است‬ ‫شده‬ ‫داده‬ ‫نمایش‬ ‫زیر‬ ‫شکل‬ ‫در‬
‫از‬ ‫استفاده‬ ‫با‬ ‫شبکه‬ ‫بر‬ ‫مبتنی‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬Sebek

17. ‫سپنتا‬ ‫داده‬ ‫ایمن‬ ‫شرکت‬‫دهنده‬ ‫ارائه‬‫طراحی‬ ‫و‬ ‫شبکه‬ ،‫امنیت‬ ‫خدمات‬ ‫انواع‬‫سایت‬
www.idsco.ir
17
3-( ‫دروازه‬ /‫مسیریاب‬ ‫بر‬ ‫مبتنی‬gateway)
‫سطح‬ ‫در‬ ‫ها‬ ‫داده‬ ‫آوری‬ ‫جمع‬ ‫برای‬ ‫استفاده‬ ‫مورد‬ ‫معمول‬ ‫روش‬ ‫آخرین‬gateway‫از‬ .‫است‬ ‫شبکه‬ ‫فایروال‬ ‫یا‬ ‫مسیریاب‬ ،
‫یك‬ ‫آنجاییکه‬gateway‫میزبان‬ ‫بین‬ ‫را‬ ‫ها‬ ‫داده‬ ‫تمامی‬‫و‬ ‫شبکه‬ ‫یك‬ ‫های‬‫می‬ ‫منتقل‬ ‫اینترنت‬‫م‬ ‫برای‬ ‫را‬ ‫فرصت‬ ‫این‬ ،‫کند‬‫ا‬
‫می‬ ‫ایجاد‬‫به‬ ‫اینترنت‬ ‫از‬ ‫که‬ ‫را‬ ‫هایی‬ ‫داده‬ ‫و‬ ‫ارتباطات‬ ‫تمامی‬ ،‫طریق‬ ‫این‬ ‫از‬ ‫که‬ ‫کند‬Honeypot‫می‬ ‫منتقل‬ ‫ما‬ ‫های‬،‫شوند‬
‫حل‬ ‫راه‬ ‫به‬ ‫نسبت‬ ‫بیشتری‬ ‫خطر‬ ‫دارای‬ ‫مساله‬ ‫این‬ .‫نماییم‬ ‫ثبت‬Sebek‫است‬.‫چرا‬‫که‬‫یك‬gateway‫شبکه‬ ‫در‬ ‫معموال‬
‫پنهان‬‫می‬ ‫تبدیل‬ ‫مهاجمان‬ ‫حمالت‬ ‫هدف‬ ‫به‬ ‫نیز‬ ‫خود‬ ‫نتیجه‬ ‫در‬ ‫و‬ ‫نیست‬‫اف‬ ‫سخت‬ ‫به‬ ‫وابسته‬ ‫بیشتر‬ ‫روش‬ ‫این‬ ،‫عالوه‬ ‫به‬ .‫شود‬‫زار‬
‫یك‬ ‫نقش‬ ‫در‬ ‫که‬ ‫دارید‬ ‫احتیاج‬ ‫سروری‬ ‫به‬ ‫شما‬ ‫که‬ ‫چرا‬ ،‫است‬gateway‫بسیاری‬ ،‫حال‬ ‫عین‬ ‫در‬ .‫کند‬ ‫عمل‬
‫از‬gateway‫می‬ ‫طراحی‬ ‫خانگی‬ ‫یا‬ ‫کوچك‬ ‫مقیاس‬ ‫در‬ ‫که‬ ‫هایی‬‫قابلیت‬ ،‫شوند‬‫ها‬‫ندارند‬ ‫اطالعات‬ ‫ثبت‬ ‫برای‬ ‫ای‬ ‫عمده‬ ‫ی‬
‫نمی‬ ‫و‬.‫گیرند‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫نقش‬ ‫این‬ ‫در‬ ‫توانند‬
‫تکنیك‬ ‫بدون‬‫سیستم‬ ‫از‬ ‫شده‬ ‫آوری‬ ‫جمع‬ ‫اطالعات‬ ‫اعتبار‬ ،‫داده‬ ‫آوری‬ ‫جمع‬ ‫قوی‬ ‫های‬‫یابد‬ ‫می‬ ‫کاهش‬ ‫شدت‬ ‫به‬ ‫میزبان‬ ‫های‬
‫اعتبار‬ ،‫است‬ ‫مهاجمان‬ ‫شناخت‬ ‫اطالعات‬ ‫این‬ ‫اصلی‬ ‫اهداف‬ ‫از‬ ‫یکی‬ ‫آنجاییکه‬ ‫از‬ ‫و‬‫زیادی‬ ‫بسیار‬ ‫اهمیت‬ ‫از‬ ‫نیز‬ ‫اطالعات‬ ‫این‬
.‫است‬ ‫برخوردار‬