허니팟
허니팟은 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템이다. 이를 통해 공격자를 추적하고 정보를 수집하는 역할을 한다.
공격자를 속이기 위해 마치 정상 시스템에 침투한 것처럼 속여야 한다. (일종의 덫이다.)
아래의 그림을 보면 쉽게 이해 할 수 있다.
마치 꿀단지 안의 꿀로 공격자를 유인하는 모습이다.
허니팟에 공격자들을 끌어들이기 위해서는 다음의 요구사항들을 만족시켜야 한다.
- 쉽게 해커에게 노출되어야 한다.
- 사용자 PC 환경과 유사해야 한다.
- 쉽게 해킹이 가능한 것처럼 보여야 한다.
- 해당 시스템에 접근하는 모든 패킷을 감시해야 한다.
- 해당 시스템에 접근하는 모든 감시 기록은 관리자가 볼 수 있어야 한다.
허니팟은 크게 2가지로 구분된다
- Server side honeypot - 서버 단 허니팟 모델
- Client side honeypot - PC단에서 인터넷 사용 중 발생하는 침해 행위를 탐지하는 모델
최근 개인 사용자 컴퓨터에 대한 공격이 증가하고 있다.
이에 따라 개인 PC에 대한 보호를 필요로 하고 있고, 그때 사용되는 허니팟이 클라이언트 허니팟이다.
클라이언트 허니팟
클라이언트 허니팟은 용도에 따라 크게 3가지로 나뉜다.
간단하게 honeypot의 특징 및 종류만 살펴보고 넘어가도록 한다.
1. High interaction
장점 |
단점 |
- Unknown 공격(ex. Zero-Day 공격)도 탐지 가능하다. |
- 시스템 성능에 따라 속도 차이가 심하게 발생한다. - 구현하기가 쉽지 않다. - 시스템의 모든 부분을 구현해야 하기 때문에 자원의 소모가 크다. |
종류
- Capture-HPC
- HoneyClient
- HoneyMonkey
- SHELI
- UW Spycrawler
- Web Exploit Finder
2. Low interaction
장점 |
단점 |
- 구현하기가 비교적 쉽다. - 정보 수집 속도가 빠르다. - 알려진 공격에 대해서만 정보 수집이 가능하다. - 시스템 일부만을 구현하기 때문에 자원소모가 적다. |
- 알려지지 않은 행위에 대해 탐지가 매우 어렵다. |
종류
- HoneyC
- Monkey-Spider
- PhoneyC
- SpyBye
- Thug
- YALIH
3. Hybrid Client Honeypots
- High-interaction과 Low-interaction의 각 장점을 결합한 형태이다.
종류
- HoneySpider
참고자료
https://en.wikipedia.org/wiki/Client_honeypot