Youpot to nowatorski honeypot proxy-back, używany głównie do wyłapywania robaków i atakujących, którzy będą próbowali używać zaatakowanych hostów jako serwerów proxy do dalszych ataków na podobne urządzenia/usługi.
Stworzenie honeypotu o wysokiej interakcji wymaga napisania dobrej emulacji tego, co atakujący chce zaatakować. Może to być trudne (ponowne wdrożenie złożonej usługi) lub niemożliwe (ponieważ sposób działania konkretnej usługi jest nieudokumentowany).
Zbudowanie czystego honeypotu jest jeszcze trudniejsze, ponieważ wymaga uruchomienia prawdziwej usługi na żywo i dodania instrumentów do sprawdzania, co robi atakujący, procedur czyszczenia itp.
Ponadto nie wiemy, jakiej usługi szuka robak (lub inny atakujący). Na przykład, jeśli atakujący łączy się z telnetem, nie wiemy, które z tysięcy możliwych urządzeń IoT chce zaatakować.
Projekt youpot omija te ograniczenia, przekazując ruch TCP z powrotem do hosta, który się z nim połączył, na tym samym porcie. Robak otrzyma dokładnie taką usługę, jakiej chce, na wybranej przez siebie platformie. I nie wyrządza to żadnej szkody: atakujący już zaatakował to urządzenie.
W przypadku wielu protokołów, nawet zastrzeżonych, nie jest wymagana wcześniejsza znajomość protokołu. Możemy po prostu nagrać ruch. Niektóre protokoły będą wymagały pomocy, aby MiTM, na przykład TLS lub SSH.
Implementacja znajduje się tutaj:
https://github.com/sq5bpf/youpot
Plik README.md zawiera dodatkowe informacje, jak zainstalować Youpot i jak go używać.
Do cytowania proszę użyć pliku CITATION.cff tego repozytorium.