‫تعرف على تقنية ‪Honeypot‬‬

‫‪ ‬‬

‫تقنية ‪ Honeypot‬في هذا المقال سنتحدث حول أنظمة‪ ‬تقنية ‪ Honeypot‬و ستكون المواضيع التي سنتطرق لها من خالل هذا‬
‫المقال هي كاآلتي ‪:‬‬
‫– ما المقصود ب‪ ‬تقنية ‪ Honeypot‬؟‬
‫– كيف ظهرت هذه التقنية؟‬
‫– تقسيمات‪ ‬تقنية ‪ Honeypot‬؟‬
‫– ما المقصود ب‪ ‬تقنية‪ Honeynet ‬؟‬
‫– خاتمة‬
‫مالمقصود بتقنية‪ Honeynet ‬؟‬
‫تعتبر‪ ‬تقنية ‪ Honeypot‬او أوعية العسل عبارة عن برامج يتم من خاللها اصطياد مخترقي الشبكات او من يحاولون اختراقها‪,‬‬
‫بحيث برمجت و صممت ليتم استغاللها من قبل المخترقين‬
‫‪ ‬‬

‫يتم ذلك عبر محاكاة هذه األنظمة و البرامج لوجود ثغرات بحيث تقوم بجذب المهاجمين و الفايروسات و اي برامج هجوم‪ .‬تتم هذه‬
‫العملية لجمع أكبر قدر من المعلومات عن هذه الهجمات و التي يمكن أن تكون من أكثر من مصدر‪ ,‬وذلك ليتم فحصها و تحليلها و‬
‫دراستها‪ ,‬و تعتبر هذه األدوات او األنظمة (‪ )Honeypots‬ادوات قوية في كشف أي برامج خبيثة و ديدان و فيروسات جديدة لم يتم‬
‫الكشف عنها سابقا (او ما تسمى ب ‪.)zero-day worms‬‬

‫كيف ظهرت‪ ‬تقنية ‪ Honeypot‬؟‬

‫في عام ‪ 1986‬تم تعيين ‪ Cliff Stoll‬في ‪ Lawrence Berkeley National Laboratory‬كمدير أنظمة‪ ,‬في يوم من االيام وجد‬
‫‪ Cliff‬بأنه قد تم اختراق مجموعة من الحسابات فقرر أن يقوم بإنشاء أجهزة عليها ثغرات حتى يجذب أي مخترق و يتعرف عليه‪ .‬و‬
‫في عام ‪ 1990‬أظهر للعالم أجمع هذا المصطلح الجديد و هو ‪. Honeypot‬‬
 ‫صورة ‪ Cliff Stoll‬مخترق تقنية ‪Honeypot‬‬
‫‪ ‬‬
‫تقسيمات تقنية‪ Honeypot ‬؟‬
‫هنالك عدة تقسيمات لهذه األنظمة‪ ,‬فمنهم من صنفها تبعا لطبيعة اإلستخدام و منهم صنفها حسب طريقة التصميم‪.‬‬

‫فحسب أول تصنيف (طبيعة اإلستخدام)‪ .‬فإنه يتم تقسيمها لقسمين و هما ‪:‬‬
‫–‪ : Production Honeypots ‬و هي تلك التي يتم استخدامها لحماية الشبكات و األنظمة في المنظمات و المؤسسات و الشركات‬
‫لزيادة تأمين هذه المؤسسة و حمايتها‪ .‬يتميز هذا النوع بسهولة استخدامه لكنه يوفر معلومات قليلة عن أي هجوم‪.‬‬
‫–‪ : Research Honeypots ‬وهي التي يتم استخدامها في األبحاث من قبل الحكومات و المنظمات و الجهات العسكرية لكشف‬
‫أي برامج خبيثة و تحليل الهجمات التي من الممكن أن تتعرض لها‪ .‬و يعتبر هذا النوع معقد و لكنه يوفر معلومات كثيرة عن الهجوم‪.‬‬
‫أما حسب التصنيف الثاني (وهي الذي يعتمد على طريقة التصميم) فإنه يتم تقسيم هذه األنظمة الى ثالثة أنواع و هي ‪:‬‬
‫–‪ : Pure Honeypots ‬و هي انظمة كاملة تستخدم الشبكات الفعالة وال تحتاج ألي أنظمة او برامج أخرى لكي يتم تنصيبها معها‪.‬‬
‫–‪ : High-interactive Honeypots ‬هذا النوع يتم عن طريق تقليد االنظمة بأنظمة مماثلة بنفس العدد من الخدمات و ذلك‬
‫إلشغال المخترق بفحص جميع الخدمات إلضاعة وقته و هي أكثر أمنا بحيث يصعب كشفها بسهولة و لكن تكلفتها عالية‪.‬‬
 ‫–‪ : Low-interaction honeypots ‬و هي عبارة عن محاكاة للخدمات األكثر طلبا من قبل المخترقين (او من يحاولون‬
‫اإلختراق) وذلك ألنها تستخدم مصادر قليلة من النظام‪ ,‬بحيث يمكن اإلستفادة من ذلك بعمل أكثر من جهاز وهمي على نفس الجهاز‬
‫الحقيقي و اإلستفادة منها معا‪.‬‬
‫باإلضافة الى ما تم ذكره من أصناف سابقة يمكن تصنيفها حسب الخدمة التي تكون الغاية من جذب المخترقين اليها‪ ,‬فممكن أن يكون‬
‫هنالك ‪ Malware Honeypots‬و ‪ Database Honeypots‬و ‪ Spam Honeypots‬و غيرها الكثير‪..‬‬

‫ما المقصود ب تقنية‪Honeynet ‬؟‬

‫ظهر هذا المفهوم في عامل ‪ 1999‬ألول مرة وهو عبارة عن نظامين أو أكثر من أنظمة ‪ Honeypots‬التي تتواجد في الشبكة‪ .‬بحيث‬
‫في بعض األحيان تكون الشبكة و الخدمات و األنظمة المتوافرة عليها كبيرة جدا و التي ال يمكن لنظام ‪ Honeypot‬واحد ان يقوم‬
‫بمراقبتها بشكل كامل‪.‬‬

‫خاتمة‪ ‬‬
‫بهذا نكون قد تعرفنا على مفهوم‪ ‬تقنية ‪ Honeypot‬و ما الفائدة منه‪ ,‬و سنتعرف في شروحات قادمة على بعض األمثلة من هذه‬
‫األنظمة و كيفية تنصيبها و اعدادها و تشغيلها على شبكتك الخاصة‪..‬‬
‫‪ ‬‬

‫مقاالت سابقة بموقع تكناوي‪.‬نت‬

‫التعامل مع اداة ‪dnswalk‬‬

‫مسابقة اإلختراق األخالقي النسخة الثالثة – ‪Jordan Infosec CTF‬‬
‫إكتشاف و إستغالل ثغرات ‪SSI Injection‬‬
‫‪ ‬‬

‫‪ ‬‬

‫نتمنى أن تكونوا قد إستفتدم من المعلومات التي تم شرحها في هذا الموضوع 😉‬

‫لمتابعة المزيد من األخبار و المقاالت و الفيديوهات التعليمية‪ ,‬تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي ‪ :‬صفحة‬
‫موقع تكناوي‪.‬نت‬
 ‫قناني العسل (‪ .. )Honeypots‬ماهي وكيف تعمل؟ انواعها؟‬
‫مميزاتها‬
‫أمن المعلومات والخصوصية الرقمية‬
‫يوليو ‪2016‬‬
‫يوليو ‪2016‬‬

‫‪Mohammed Al Amindpentest‬‬
‫يوليو ‪2016‬‬
‫السالم عليكم ورحمة هللا ‪ .‬أعزائي الكثير منا يسمع عن مايسمى (‪ )Honeypot‬او ماتعرف بقناني العسل ولكن نجهل‬
‫ماهي وظيفتها وفائدتها … اليوم ان شاء هللا بتكلم قليال عن هذه التقنية ودورها في مجال الحماية وامن المعلومات‬

‫<‪imgsrc="/uploads/default/original/2X/‬‬
‫‪>”3/30d7e170784ecda891f5f0d76080e75834d57522.jpg" width=“666” height=“500‬‬

‫تقنية وعاء العسل او ال ‪ Honeypot‬تم اكتشافها عام ‪1990‬م من قبل شخص يدعى (‪ . )Califrod Stoll‬الحديث‬
‫سيكون عن المحاور التالية ‪:‬‬

‫‪Honeypot -1‬‬
‫‪Honeynet -2‬‬
‫‪Honeywall -3‬‬

‫تعريف تقنية ال (‪: )Honeypot‬‬ ‫‪‬‬

‫هي عبارة عن أنظمة ترتكز فكرتها األساسية على تضليل المخترقين ومختبري االختراق وتتبع تحركاتهم‬
‫داخل النظام ‪ ،‬عبر انشاء أنظمة وهمية مليئة بالثغرات إليهام المخترق بأنه نجح في اختراق النظام‪ .‬ولكنه‬
‫فعليا اخترق نظام وهمي ولم يصل ألي شيء داخل الشبكة ‪.‬‬
‫دواعي استخدام واستعمال مثل هذه األنظمة ‪:‬‬ ‫‪‬‬
‫‪ -1‬تبادل المعرفة وجمع المعلومات االستخبارية (‪. )Intelligence Information gathering‬‬
‫‪ -2‬استشعار األخطار واالنذار المبكر بها (‪ )Proactive Defense‬أو ماييعرف بالدفاع من العمق (‬
‫‪ ، )Defense in Depth‬ويتم ذلك عبر احد هذه السيناريوهات ‪:‬‬

‫يتم إطالق االنذار عند مرور أي بيانات من وإلى نظام ال ‪ Honeypot‬وتعتبر فوراً محاولة اختراق ‪.‬‬ ‫‪‬‬
‫إن لم يكن في هذه النقطة من الشبكة نظام كشف الدخالء (‪ )IDS - Intrusion Detection System‬أو‬ ‫‪‬‬
‫ال يوجد تواقيع (‪ )Signature‬لعملية االختراق فإن ‪ Honeypot‬سيكون هو الطريق األمثل لكشف هذا‬
‫االختراق و سيكون أكبر داعم لنظام (‪ )IDS‬إن وجد ‪.‬‬

‫‪ -3‬الخداع (‪ )Deception‬بحيث يشعر المخترق أو الشخص الذي يحاول الوصول لشبكتك أو أنظمتك بأنه حصل على‬
‫ما يريد فعال مما يهديء ويقلل محاوالت اختراق الشبكة ‪ .‬وفي نفس الوقت وبنفس القدر من األهمية تعتبر طريقة فعالة‬
‫لتنبيه مراقبين الشبكة والقائمين على تأمينها بوجود خطر دون االنتظار لحدوث اختراق فعلي للشبكة قد ال تحمد عقباه ‪،‬‬
 ‫وقد تنتج عنه نتائج كارثية من وصول لمعلومات وملفات مهمة وحساسة وتسريبها للعلن واألمثلة على ئلك كثيرة ‪.‬‬
‫‪ -4‬األبحاث والتطوير ‪ ،‬حيث تعتبر أفضل مايمكن الحصول عليه من تفعيل هذه التقنية بحيث تستخدم في التجارب على‬
‫أمن وتأمين الشبكات واألجهزة المتصلة بها ‪ .‬كما يمكن االستفادة منها في تداول المعلومات بين مسؤولي الحماية من أجل‬
‫رفع مستوى األمان في األنظمة والمساعدة على فهم وتحليل واختبار اختراق الشبكات‬

‫أنواع وتقسيمات ال (‪ : )Honepot‬هنالك عدة تقسيمات لهذه األنظمة ‪ ،‬فمنهم من صنفها تبعا لطبيعة‬ ‫‪‬‬
‫اإلستخدام و منهم صنفها حسب طريقة التصميم ‪.‬‬

‫حسب أول تصنيف (طبيعة اإلستخدام) فإنه يتم تقسيمها لقسمين و هما ‪:‬‬ ‫‪‬‬
‫‪ -1‬مصائد االنتاج (‪: )Production Honeypots‬‬
‫و هي تلك التي يتم استخدامها لحماية الشبكات و األنظمة في المنظمات و المؤسسات و الشركات لزيادة تأمين‬
‫هذه المؤسسة و حمايتها‪ .‬يتميز هذا النوع بسهولة استخدامه لكنه يوفر معلومات قليلة عن أي هجوم‪.‬‬
‫‪ -2‬مصائد البحث (‪: )Research Honeypots‬‬
‫وهي التي يتم استخدامها في األبحاث من قبل الحكومات و المنظمات و الجهات العسكرية لكشف أي برامج‬
‫خبيثة و تحليل الهجمات التي من الممكن أن تتعرض لها و يعتبر هذا النوع معقد و لكنه يوفر معلومات كثيرة‬
‫عن الهجوم ‪.‬‬
‫أما حسب التصنيف الثاني (وهي الذي يعتمد على طريقة التصميم) فإنه يتم تقسيم هذه األنظمة الى ثالثة أنواع‬ ‫‪‬‬
‫و هي ‪:‬‬
‫‪ -1‬المصائد الكاملة (‪: )Pure Honeypots‬‬
‫و هي انظمة كاملة تستخدم الشبكات الفعالة وال تحتاج ألي أنظمة او برامج أخرى لكي يتم تنصيبها معها ‪.‬‬
‫مثال عليها أداة تسمى (‪ )Sebek‬هذا رابط الموقع الخاص بها (‬
‫‪. )http://projects.honeynet.org/sebek 19‬‬
‫‪ -2‬مصائد عالية التفاعل (‪: ) High-interactive Honeypots‬‬
‫هذا النوع يتم عن طريق تقليد االنظمة بأنظمة مماثلة بنفس العدد من الخدمات و ذلك إلشغال المخترق‬
‫بفحص جميع الخدمات إلضاعة وقته و هي أكثر أمنا بحيث يصعب كشفها بسهولة و لكن تكلفتها عالية ‪ ،‬ومن‬
‫مميزاته ‪:‬‬

‫يعتبر نظام تشفير كامل و ال يفرض أي حدود في االستخدام ‪.‬‬ ‫‪‬‬

‫‪-‬يتيح للمخترق التحكم الكامل بالنظام عند اختراقه حيث يستطيع تثبيت برامجه و أدواته عليه كما لو أنه‬
‫جهازه الخاص ‪.‬‬
‫‪-‬ومن عيوبه ‪:‬‬
‫يحتاج مراقبة قوية و حذر كبير عند وضعه في أي نقطة في الشبكة ‪.‬‬ ‫‪‬‬
‫غالبا يستخدم في األبحاث و التجارب للوصول إلى أفضل النتائج اللتي تخدم النظام ‪.‬‬ ‫‪‬‬
‫‪ -3‬مصائد منخفضة التفاعل (‪: )Low-interaction honeypots‬‬
‫و هي عبارة عن محاكاة للخدمات األكثر طلبا من قبل المخترقين (او من يحاولون اإلختراق) وذلك ألنها‬
‫تستخدم مصادر قليلة من النظام‪ ,‬بحيث يمكن اإلستفادة من ذلك بعمل أكثر من جهاز وهمي على نفس الجهاز‬
‫الحقيقي و اإلستفادة منها معا‪ .‬وتستخدم هذه األنظمة في نقاط الشبكة الحساسة حيث خطر النظام بعد‬
‫االختراق يكون أقل على الشبكة ‪.‬‬
‫كما تعتبر نقطة قوية لدعم ال (‪ )IDS‬في الشبكة حيث يوفر أقصى درجات ال (‪)False-Positive Alarm‬‬
‫ألن أي حركه تأني منه أو إليه تعتبر مشبوهة و بالتالي مرفوضه تماما و يتم اإلبالغ عنها و إطالق اإلنذار‬
‫مباشرة ‪.‬‬
 ‫باإلضافة الى ما تم ذكره من أصناف سابقة يمكن تصنيفها حسب الخدمة التي تكون الغاية من جذب‬
‫المخترقين اليها ‪ ،‬فهنالك أصناف أخرى مثل ‪:‬‬
‫( ‪)Malware Honeypots - Database Honeypots - Spam Honeypots‬‬

‫** أهم اإلصدارات لهذا النوع من قناني العسل **‬

‫‪ -1‬نظام (‪ : )Honyed‬هو نظام معياري للنوع (‪ )Low Interaction‬ويوفر بيئة تفاعلية لخدمات كثيرة االستخدام مثل‬
‫(‪ ، )IIS - Telnet - FTP - SSH - Apache‬ويحتوي على أدوات كثيرة لكشف البرامج الخبيثة ‪ .‬عيبه الوحيد انه‬
‫ضعيف جدا إذا كان المخترق أو البرامج الخبيثة يقومون بتنفيذ عمليات كثيرة ومتعددة ‪.‬‬
‫‪ -2‬نظام (‪ : )Nepenthes‬يعتبر تطويراً للنظام السابق ولكنه أقوى منه بمراحل ‪ .‬ويوفر خدمات أكثر للمخترق و يسمح‬
‫له بعمل تحركات أكثر مع الخدمات و بالتالي جمع قدر أكبر من المعلومات عن المخترق أو البرامج الخبيثة ‪ .‬لديه قابلة‬
‫لتنفيذ ال (‪ )Shell Codes‬ويتعامل مع النظام نفسه و مع البروتوكوالت و آليات النظام بشكل أفضل‪.‬‬

‫** عيوب أنظمة ال (‪: )Honeypots‬‬

‫‪ -1‬صغر بؤرة أو نطاق المراقبة والفحص ‪ ،‬بحيث تتمركز مراقبه ما يحدث من و إلى هذا النظام فقط مما يغض الطرف‬
‫عن مراقبه بقية الشبكة ‪.‬‬
‫‪ -2‬قد يضل النظام لمدة طويلة دون أن يخبر عن شئ وهذا يسبب استهالك المزيد من الموارد مثل تعدد األجهزة التي‬
‫تستضيف أنظمة قناني العسل أو استهالك الطاقة ‪.‬‬
‫‪ -3‬العرضة للخطر ‪:‬‬

‫وجود نظام زائد في الشبكة يعني وجود خطر زائد على الشبكة حيث يتطلب حماية و مراقبة و اهتمام أيضا ‪.‬‬ ‫‪‬‬
‫نسبة ازدياد الخطر تعتمد على طريقة إعداد النظام نفسه من قِبل مدير الشبكة ‪.‬‬ ‫‪‬‬
‫‪-‬قد يستغل المخترق هذا النظام كنقطة أمنة وهادئه له لبدء هجومة على الشبكة الداخلية الحقيقية كهجمات‬
‫حجب الخدمة (‪ )DDOS - Distributed Denail of Service‬وغيرها ‪.‬‬
‫قد يستغل المخترق هذا النظام ويستخدمه ك ( ‪ )VPS - Virtual Private Server‬أو (‪ )Proxy‬الختراق‬ ‫‪‬‬
‫منظمة أو شبكة أو أي موقع على االنترنت بغرض إخفاء هويته ‪.‬‬
‫يستطيع المخترق أن يعرف أنه في بيئة تخيلية إذا تم استخدام برامج المحاكاة مثل (‪ )VMware‬أو (‬ ‫‪‬‬
‫‪ )Virtual Box‬بسبب أسماء األجزاء المادية مما يجعله يغير وجهته أو طريقته في االختراق ‪.‬‬

‫ماهي ال (‪ : )Honeynets‬هي عبارة عن شبكة مكونة من العديد من قناني العسل أو المصائد (‬ ‫‪‬‬
‫‪ )Honeypots‬متصلة فيما بينها كشبكة وهمية كاملة ومتعددة األنظمة ‪.‬‬

‫أنواع ال (‪: )Honeynets‬‬ ‫‪‬‬

‫‪ -1‬شبكات الجيل األول (‪: )Gen 1 Honeynets‬‬
‫تم اصدارها في العام ‪ 2000‬وتستخدم كراوتر لتوصيل شبكة ال (‪ )Honeynet‬بالشبكة األساسية و لعرض‬
‫بعض المعلومات الخفيفة عن االتصال في الشبكة الوهمية ‪.‬‬
‫‪ -2‬شبكات الجيل الثاني (‪: )Gen 2 Honeynets‬‬
‫تم اصدارها في العام ‪ 2003‬عندما تم اطالق مشروع (‪ )honeynet.org 1‬بشكل رسمي ‪ .‬وهذا النوع‬
‫يستخدم تقنية الجسور (‪ )Bridging‬لكي يسمح للشبكة الوهمية بأن تكون بجانب أو داخل الشبكة الحقيقية‬
‫وهذا يثبت مبدأ الدفاع من العمق (‪ . )Defense in Depth‬وعندما تعمل هذه الشبكة كجسر فإنها تعمل‬
 ‫كجدار ناري وهمي في نفس الوقت و يسمى (‪ ، )Honeywall‬حيث يوفر قابلية جمع و تحكم في البيانات‬
‫العابرة من وإلى الشبكة الوهمية ‪.‬‬
‫‪ -3‬شبكات الجيل الثاني (‪: )Gen 3 Honynets‬‬
‫تم اصدارها في العام ‪ ، 2005‬وتم تطويرها في منتج يسمى (‪ )roo‬وهو بالفعل متطور في طريقة جمع‬
‫البيانات و التحكم فيها و يوفر طرق أكثر في تحيليل البيانات و األحداث و بواجهة رسومية عن طريق‬
‫المتصفح (‪ )Web Interface‬وتسمى (‪. )Walleye‬‬

‫بنية الشبكة الوهمية (‪: )Honeynet‬‬ ‫‪‬‬

‫إن وجود الجدار الناري (‪ )Honeywall roo‬يكون بمثابة بوابة غير مرئية للشبكة (‪. )Honeynet‬‬ ‫‪‬‬
‫فرص جمع البيانات أصبحت أكثر بوجود تقنية الجسور (‪. )Bridging‬‬ ‫‪‬‬
‫أصبحت أنظمة شبكات المصائد (‪ )Honeynets‬أكثر أمانا و نستطيع وضعها بجانب الشبكات المحلية‬ ‫‪‬‬
‫الحقيقة ‪.‬‬

‫طرق التحكم في البيانات وجمعها ‪:‬‬ ‫‪‬‬

‫يوفر الجدار الناري (‪ )Honeywall‬التحكم ‪ ،‬و منع أي نشاط يخرج من شبكة (‪. )Honeynet‬‬ ‫‪‬‬
‫تزداد الحاجه الستخدام الجدار الناري عند الحاجه إلى التحكم في قابلية تنصيب البرامج و تحميل أدوات‬ ‫‪‬‬
‫إضافية داخل األنظمة الوهمية من قِبل المخترق ‪.‬‬
‫من أهم أدوات التحكم في البيانات و جمعها ‪:‬‬ ‫‪‬‬
‫( ‪)Rootkit - IPtables - Snort - TCPdump - Nagios - p0f - Sebek‬‬
‫يتم جمع معلومات ال (‪ )Snort‬الخاص بال (‪ )Honeynet‬بهيئة تسمى (‪. )hflow‬‬ ‫‪‬‬

‫الجدار الناري (‪: )Honeywall‬‬ ‫‪‬‬

‫يعتبر من تطويرات الجيل الثالث لمشاريع ال (‪ ، )Honeynets‬ويأتي على شكل نظام تشغيل متكامل على‬
‫شكل صورة (‪ )ISO Image‬و أيضا يأتي على شكل قرص وهمي (‪ . )VMware HDD‬وهو مبنيى على‬
‫توزيعة (‪. )CentOS 5.X‬‬
‫مميزاته ‪:‬‬ ‫‪‬‬

‫مفتوح المصدر وسهل التنصيب وال يحتاج لدراية أو خبرة عالية لتنصيبه ‪.‬‬ ‫‪‬‬
‫ال يحتاج ألجهزة بمواصفات عالية ‪.‬‬ ‫‪‬‬
‫واجهة رسومية متكاملة لإلدارة (‪. )Walleye‬‬ ‫‪‬‬
‫رسم بياني لتمثيل األحداث ‪.‬‬ ‫‪‬‬
‫إحتوائه على نظام كشف الدخالء (‪ )IDS‬ويستخدم برنامج (‪ )Snort‬الغني عن التعريف ‪.‬‬ ‫‪‬‬
‫إحتوائه على برنامج مسح الشبكات (‪ )Nessus‬الشهير والمعروف ‪.‬‬ ‫‪‬‬
‫إمكانية اإلدارة عن بعد وبشكل آمن عن طريق (‪. )SSH - Secure Shell‬‬ ‫‪‬‬