Hoe je begrijpt wat een honeypot is

📅
🕑 2 minuten lezen

Wanneer een server constant te maken krijgt met aanvalspogingen, vooral omdat hij rechtstreeks met het internet is verbonden zonder filters, is het onvermijdelijk dat hij wordt bestookt met allerlei geautomatiseerde onzin. Dit zijn geen gerichte aanvallen – eerder bots die grote delen van de IP-ruimte scannen, open poorten aanspreken of willekeurige payloads uitproberen om te zien of er iets interessants opduikt. Als je een openbare server draait, of het nu een website, API of wat dan ook is, zeg je in feite “kom maar op” tegen iedereen of alles dat aan het scannen is. Zo gaat dat nu eenmaal, maar gelukkig zijn er handige manieren om het die willekeurige scanners moeilijker te maken. Want natuurlijk moet Windows, Linux of welk besturingssysteem dan ook het moeilijker maken dan nodig is, toch?

Hoe je een eenvoudige honeypot opzet om aanvallers te vangen

Methode 1: Gebruik een nep-beheerpagina of lok met een eenvoudig honeypot-script

Dit is vrij eenvoudig, maar effectief om de gewone scanner of scriptkiddie te pakken te krijgen. Maak in principe een nep-login of adminpaneel aan – niets bijzonders, gewoon een map zoals /admin of /wp-admin die er aantrekkelijk uitziet, maar eigenlijk niets doet. Stel vervolgens logging in van elk IP-adres en elke interactie die toegang probeert te krijgen. In sommige configuraties is dit slechts een kwestie van het aanmaken van de map en het plaatsen van een script dat IP-adressen en verzoeken logt in een bestand of database.

Waarom het helpt: Het kan je direct laten zien wie er rondneust op je meest gevoelige pagina’s. Wanneer de scanner je nep-beheerderspagina bereikt, krijg je een exact IP-adres, tijdstip en misschien zelfs een user-agent. In de ene configuratie werkte het meteen, in de andere duurde het een paar pogingen, maar over het algemeen zijn deze afleidingsmanoeuvres goed in het detecteren van de geautomatiseerde scripts die je site crawlen. Zorg er wel voor dat de directory nergens anders naartoe is gelinkt, anders kunnen legitieme gebruikers er per ongeluk op stuiten. Voeg ook een opmerking toe aan je robots.txt-bestand, zoals `