Honeypots software: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→Honeyd) |
|||
| Zeile 1: | Zeile 1: | ||
| − | = | + | =Moderne Honeypot-Tools – Übersicht= |
| − | |||
| − | |||
| − | |||
| − | = | + | ===[[Cowrie]]=== |
| − | * | + | *Lizenz: Open Source |
| − | + | *SSH- und Telnet-Honeypot mit voller Shell-Emulation | |
| + | *Loggt eingegebene Befehle, hochgeladene Dateien, Loginversuche | ||
| + | *Sehr aktiv entwickelt | ||
| + | *Ideal für SSH-Brute-Force-Analyse und Malware-Forschung | ||
| − | Lizenz | + | ===[[OpenCanary]]=== |
| + | *Lizenz: Open Source | ||
| + | *Modularer, leichtgewichtiger Honeypot in Python | ||
| + | *Simuliert u. a. Dienste wie HTTP, SSH, MySQL, Redis, FTP, Samba | ||
| + | *Loggt automatisch und kann mit SIEM/ELK integriert werden | ||
| + | *Sehr einfach zu deployen | ||
| − | = | + | ===[[Tanner]]=== |
| + | *Lizenz: Open Source | ||
| + | *Container-basierter Honeypot für Webanwendungen | ||
| + | *Erfasst SQLi, XSS, RFI, Directory Traversal, Command Injection usw. | ||
| + | *Speichert Payloads und Metadaten | ||
| + | *Besonders gut geeignet für Web-Pentests und Lernumgebungen | ||
| − | Lizenz | + | ===[[Dionaea]]=== |
| + | *Lizenz: Open Source | ||
| + | *Fängt Malware über Protokolle wie SMB, HTTP, FTP, MSSQL | ||
| + | *Speichert Payloads für spätere Analyse | ||
| + | *Kann mit [[Cuckoo Sandbox]] kombiniert werden | ||
| − | + | ===[[Tpot]]=== | |
| + | *Lizenz: Open Source | ||
| + | *Komplettplattform mit über 10 integrierten Honeypots (Cowrie, Dionaea, Conpot, Mailoney usw.) | ||
| + | *Docker-basiert, mit ELK-Stack zur Visualisierung | ||
| + | *Wird aktiv gepflegt durch das deutsche BSI (Deutsche Telekom CERT) | ||
| + | *Ideal für Forschung, Labore und produktionsnahe Honeynet-Umgebungen | ||
| − | + | ===[[Canarytokens]]=== | |
| + | *Lizenz: Open Source (cloudbasiert bei Thinkst oder selbst gehostet) | ||
| + | *Erstellt Fallen in Form von: | ||
| + | ** Dateien (DOCX, PDF, EXE, etc.) | ||
| + | ** Subdomains | ||
| + | ** API-Keys | ||
| + | ** E-Mail-Links | ||
| + | *Löst Alarm aus bei Zugriff | ||
| − | = | + | ===[[ArcticFox]]=== |
| − | + | *Lizenz: Open Source | |
| + | *All-in-One Honeypot mit Web-GUI, basiert auf Node.js | ||
| + | *Unterstützt HTTP/HTTPS, SMB, SSH, Telnet, DNS | ||
| + | *Ideal für schnellen Test in kleinen Netzwerken | ||
| + | ===[[Honeytrap]]=== | ||
| + | *Lizenz: Open Source | ||
| + | *Framework zum Erstellen beliebiger Netzwerk-Fallen (Ports, Protokolle) | ||
| + | *Erweiterbar über Plugins | ||
| + | *Logging mit JSON-Ausgabe, gut für SIEM-Anbindung | ||
| − | + | =Hinweis= | |
| − | = | + | Für den produktiven Einsatz empfiehlt sich eine Kombination aus: |
| − | + | *[[OpenCanary]] oder [[Tpot]] als Plattform | |
| − | + | *[[Cowrie]] für SSH | |
| − | + | *[[Canarytokens]] für interne Täuschungen (Dateien, URLs) | |
| − | + | *[[ELK]] oder [[Wazuh]] zur zentralen Auswertung | |
| − | |||
| − | |||
| − | |||
| − | |||
Aktuelle Version vom 5. April 2025, 09:14 Uhr
Moderne Honeypot-Tools – Übersicht
Cowrie
- Lizenz: Open Source
- SSH- und Telnet-Honeypot mit voller Shell-Emulation
- Loggt eingegebene Befehle, hochgeladene Dateien, Loginversuche
- Sehr aktiv entwickelt
- Ideal für SSH-Brute-Force-Analyse und Malware-Forschung
OpenCanary
- Lizenz: Open Source
- Modularer, leichtgewichtiger Honeypot in Python
- Simuliert u. a. Dienste wie HTTP, SSH, MySQL, Redis, FTP, Samba
- Loggt automatisch und kann mit SIEM/ELK integriert werden
- Sehr einfach zu deployen
Tanner
- Lizenz: Open Source
- Container-basierter Honeypot für Webanwendungen
- Erfasst SQLi, XSS, RFI, Directory Traversal, Command Injection usw.
- Speichert Payloads und Metadaten
- Besonders gut geeignet für Web-Pentests und Lernumgebungen
Dionaea
- Lizenz: Open Source
- Fängt Malware über Protokolle wie SMB, HTTP, FTP, MSSQL
- Speichert Payloads für spätere Analyse
- Kann mit Cuckoo Sandbox kombiniert werden
Tpot
- Lizenz: Open Source
- Komplettplattform mit über 10 integrierten Honeypots (Cowrie, Dionaea, Conpot, Mailoney usw.)
- Docker-basiert, mit ELK-Stack zur Visualisierung
- Wird aktiv gepflegt durch das deutsche BSI (Deutsche Telekom CERT)
- Ideal für Forschung, Labore und produktionsnahe Honeynet-Umgebungen
Canarytokens
- Lizenz: Open Source (cloudbasiert bei Thinkst oder selbst gehostet)
- Erstellt Fallen in Form von:
- Dateien (DOCX, PDF, EXE, etc.)
- Subdomains
- API-Keys
- E-Mail-Links
- Löst Alarm aus bei Zugriff
ArcticFox
- Lizenz: Open Source
- All-in-One Honeypot mit Web-GUI, basiert auf Node.js
- Unterstützt HTTP/HTTPS, SMB, SSH, Telnet, DNS
- Ideal für schnellen Test in kleinen Netzwerken
Honeytrap
- Lizenz: Open Source
- Framework zum Erstellen beliebiger Netzwerk-Fallen (Ports, Protokolle)
- Erweiterbar über Plugins
- Logging mit JSON-Ausgabe, gut für SIEM-Anbindung
Hinweis
Für den produktiven Einsatz empfiehlt sich eine Kombination aus:
- OpenCanary oder Tpot als Plattform
- Cowrie für SSH
- Canarytokens für interne Täuschungen (Dateien, URLs)
- ELK oder Wazuh zur zentralen Auswertung