Youpot to nowatorski honeypot proxy-back, u\u017cywany g\u0142\u00f3wnie do wy\u0142apywania robak\u00f3w i atakuj\u0105cych, kt\u00f3rzy b\u0119d\u0105 pr\u00f3bowali u\u017cywa\u0107 zaatakowanych host\u00f3w jako serwer\u00f3w proxy do dalszych atak\u00f3w na podobne urz\u0105dzenia\/us\u0142ugi.<\/p>\n
Stworzenie honeypotu o wysokiej interakcji wymaga napisania dobrej emulacji tego, co atakuj\u0105cy chce zaatakowa\u0107. Mo\u017ce to by\u0107 trudne (ponowne wdro\u017cenie z\u0142o\u017conej us\u0142ugi) lub niemo\u017cliwe (poniewa\u017c spos\u00f3b dzia\u0142ania konkretnej us\u0142ugi jest nieudokumentowany).<\/p>\n
Zbudowanie czystego honeypotu jest jeszcze trudniejsze, poniewa\u017c wymaga uruchomienia prawdziwej us\u0142ugi na \u017cywo i dodania instrument\u00f3w do sprawdzania, co robi atakuj\u0105cy, procedur czyszczenia itp.<\/p>\n
Ponadto nie wiemy, jakiej us\u0142ugi szuka robak (lub inny atakuj\u0105cy). Na przyk\u0142ad, je\u015bli atakuj\u0105cy \u0142\u0105czy si\u0119 z telnetem, nie wiemy, kt\u00f3re z tysi\u0119cy mo\u017cliwych urz\u0105dze\u0144 IoT chce zaatakowa\u0107.<\/p>\n
Projekt youpot omija te ograniczenia, przekazuj\u0105c ruch TCP z powrotem do hosta, kt\u00f3ry si\u0119 z nim po\u0142\u0105czy\u0142, na tym samym porcie. Robak otrzyma dok\u0142adnie tak\u0105 us\u0142ug\u0119, jakiej chce, na wybranej przez siebie platformie. I nie wyrz\u0105dza to \u017cadnej szkody: atakuj\u0105cy ju\u017c zaatakowa\u0142 to urz\u0105dzenie.<\/p>\n
W przypadku wielu protoko\u0142\u00f3w, nawet zastrze\u017conych, nie jest wymagana wcze\u015bniejsza znajomo\u015b\u0107 protoko\u0142u. Mo\u017cemy po prostu nagra\u0107 ruch. Niekt\u00f3re protoko\u0142y b\u0119d\u0105 wymaga\u0142y pomocy, aby MiTM, na przyk\u0142ad TLS lub SSH.<\/p>\n