Key points are not available for this paper at this time.
Botnets sind heute aufgrund ihrer rechtswidrigen finanziellen Gewinne zu einem der größten Angriffsrisiken im Internet geworden. Inzwischen wurden Honeypots erfolgreich in vielen Computersicherheitsverteidigungssystemen eingesetzt. Da Honeypots, die von Sicherheitsverteidigern eingerichtet werden, Botnet-Kompromittierungen anziehen und als Spione fungieren können, um die Mitgliedschaft in Botnets und das Verhalten von Botnet-Angreifern offenzulegen, werden sie von Sicherheitsverteidigern in der Botnet-Verteidigung weit verbreitet genutzt. Daher sind Angreifer, die Botnets aufbauen und pflegen, gezwungen, Wege zu finden, um Honeypot-Fallen zu vermeiden. In diesem Papier präsentieren wir eine hardware- und softwareunabhängige Methode zur Erkennung von Honeypots, die auf der folgenden Annahme basiert: Sicherheitsfachleute, die Honeypots einsetzen, haben eine Haftungsbeschränkung, sodass sie es nicht zulassen können, dass ihre Honeypots an echten Angriffen teilnehmen, die anderen Schaden zufügen könnten, während Angreifer sich an diese Beschränkung nicht halten müssen. Angreifer könnten Honeypots in ihren Botnets erkennen, indem sie überprüfen, ob kompromittierte Maschinen in einem Botnet erfolgreich unmodifizierten bösartigen Datenverkehr senden können. Basierend auf diesem grundlegenden Erkennungsprinzip präsentieren wir Techniken zur Honeypot-Erkennung, die sowohl in zentralisierten Botnets als auch in Peer-to-Peer (P2P) strukturierten Botnets eingesetzt werden können. Experimente zeigen, dass aktuelle Standard-Honeypots und Honeynet-Programme anfällig für die vorgeschlagenen Honeypot-Erkennungstechniken sind. Am Ende diskutieren wir einige Richtlinien zur Verteidigung gegen allgemeine honeypot-bewusste Angriffe.
Wang et al. (Fri,) haben diese Frage untersucht.