Tommaso Rescio

Le honeypot sono ampiamente utilizzate per comprendere attacchi informatici e nuove vulnerabilità di rete. Esponendo servizi vulnerabili, attirano attacchi, consentendo dunque una caratterizzazione del loro comportamento e lo sviluppo di contromisure efficaci. Una ben nota limitazione di questo tipo di honeypot è che sono protocol-specific, ovvero espongono solo uno o un limitato set di servizi, spesso su poche porte ben note. Presentiamo dunque un honeypot basata su Deep Packet Inspection (DPIPot). DPIPot si integra con i sistemi di honeypot esistenti, cercando la miglior honeypot per rispondere alle richieste in base ai pacchetti inviati dagli attaccanti. In questo paper riportiamo la nostra prima esperienza nell'implementazione di DPIPot. Confrontiamo il traffico che raggiunge DPIPot con quello che raggiunge honeypot statiche e dimostriamo che DPIPot è in grado di interagire con più aggressori e ottenere più informazioni sugli attacchi.

Honeypots are widely used to understand cyberattacks and new network vulnerabilities. By exposing vulnerable services, they attract malicious sources, allowing a characterisation of their behaviour and the development of effective countermeasures. A well-known limitation of this kind of frameworks is that they are mostly protocol-specific, i.e. they expose only one (or a limited) set of services, often on just a few well-known ports. As such, they miss attacks searching for services deployed on non-standard ports, as well as attacks searching for less popular services. We introduce a Deep Packet Inspection honeypot (DPIPot). DPIPot integrates state-of-the-art DPI with existing honeypot systems, searching for the best honeypot to answer to requests based on the packets coming from the attackers. In this paper we report our early experience deploying DPIPot. We compare the traffic reaching DPIPot with the one reaching static honeypots and show that DPIPot is able to engage with more attackers and obtain more information about attacks.