Fonctionnement
Honeyd fonctionne sous environnement Unix, Solaris, *BSD, et sera porté dans l'avenir sous Windows.
C'est un daemon qui crée des hosts virtuels sur le réseau utilisant les adresses IP non attribuées sur le réseau. Ces hosts peuvent être configurés pour qu'ils paraissent fonctionner sous certains systèmes d'exploitations (grâce à des templates) ou pour faire tourner certains services (en fait ce sont des scripts qui simulent le fonctionnement de ces services).
C'est un pot de miel basse interaction : simule des services TCP/IP, peut avoir plusieurs adresses IP (jusqu'à 65536 testées) et supporte ICMP (les machines virtuelles répondent aux ping et aux traceroute).
Toutes les données entrantes et sortantes (chaque paquet passe dans un "moteur personnalisé" qui permet de compléter les paquets avec les informations relatives au système d'exploitation simulé) du pot de miel sont analysées.
Plus précisement, Honeyd doit être utilisé en collaboration avec l'outil Arpd. Arpd permet de gérer les adresses IP non attribuées et il redirige les attaques vers Honeyd. Quand à lui, Honeyd gère les échanges de données avec les attaquants pour simuler les services, requêtes ICMP...
Sans Arpd, Honeyd ne peut pas travailler.
Il existe tout de même des limitations à l'utilisation de Honeyd puisque peu de services simulés sont disponibles et qu'il ne simule pas tous les systèmes d'exploitation.
Comparaison entre Honeyd et Prélude
Prelude remonte des alertes en fonction des signatures d'attaques que nous lui fournissons alors que Honeyd remonte toutes les données qui lui sont envoyées (puisque celles-ci sont considérées comme toutes suspectes).
Intégration de Honeyd dans Prélude
Honeyd peut être intégré dans l'architecture Prelude-IDS en tant que sonde réseau et ainsi on peut disposer d'un ''Pot de miel'' afin d'obtenir de nouvelles informations sur ceux qui attaquent le réseau. Les alertes sont visibles à partir du frontend de Prelude-IDS.
Pour cela, il suffit d'appliquer un patch à la libprelude et la sonde Honeyd pourra être manipulée comme n'importe quelle autre sonde Prelude-IDS. Tout cela est expliqué en détail en annexe.