![[Sitic]](http://www.sitic.se/headerimages/siticlogo.png)
Honeynet
Sitics Honeynet detekterar och registrerar skadlig kod och intrångsförsök. Systemet består av ett antal distribuerade sensorer som samlar in information. Förutom möjligheten att ge oss en ögonblicksbild kan informationen även användas för att gräva djupare i specifika attacker/attackförsök.
Vad är ett honeynet?
Två eller flera honeypots bildar ett honeynet. En honeypot är ett system som emulerar sårbara tjänster.
Det kan vara äldre och sårbara versioner av operativsystem. En honeypot kan placeras ut var som helst
i nätverket beroende på vad man är ute efter för information. Den är isolerad, skyddad och övervakad men
ger skenet av att innehålla ett sårbart system av värde för angriparen. Den fungerar alltså som ett flugpapper
för skadlig kod och andra angripare.
Vissa honeypots kan även tanka ner trojaner, vilka kan analyseras för ökad information om angreppet.
- High-interaction - simulerar alla aspekter av ett operativsystem. Det innebär att den vid en attack kan ge full tillgång till systemet för angriparen.
- Low interaction - simulerar endast vissa delar av ett operativsystem, till exempel nätverksstacken. De är mer begränsade men användbara för att samla in information på en högre nivå.
En anledning till att sätta upp en honeypot kan vara i forskningssyfte, för att se vilka attacker som sker mot systemet. Informationen kan analyseras för att visa trender och olika attackmönster som ger kunskap om hur man ska kunna vidta effektiva motåtgärder.
Honeypots kan även innebära risker och måste behandlas med omsorg. Därför måste man säkerställa att det inte blir en väg in för ett verkligt intrång.
För att se våra grafer behöver du ha Adobe Flashplayer version 9 eller senare, den finns att ladda ner här: http://www.adobe.com/go/BONRN
Hur tolkas grafen?
Grafen visar trafik mot en genomsnittlig sensor. Genomsnittet är baserat på information från systemets samtliga sensorer. Grafen uppdateras kontinuerligt, så stapeln över dagens datum växer således kontinuerligt. Informationen är grupperat per dygn och indelad i fyra kategorier.
Möjliga attacker
Möjliga attacker utgörs av uppkopplingar mot systemet där det inte går att avgöra om uppkopplingarna är
elakartade. Detta innebär allt från slumpmässig nätverkstrafik till okänd skadlig kod.
Attacker
Antalet bekräftade attacker mot systemet. Dessa attacker kan orsakas av skadlig kod och intrångsförsök.
Skadlig kod erbjuden
Antal gånger skadlig kod "erbjudits". Efter att en sårbarhet utnyttjats genom exploateringskod görs ofta försök
att ladda ner ytterligare kod. Denna skadliga kod brukar ibland kallas verkanskod.
Skadlig kod nerladdad
Antalet fullbordade nerladdningar av skadlig kod.
