Honeypot - фейковая система (сервер, сайт, устройство), которая прикидывается уязвимой, чтобы заманить атакующих и собрать инфу об их действиях. Топ для осинта. В Kali куча вариантов из коробки

Типы приманок:
1. Low-interaction: Эмуляция SSH, HTTP, FTP (Cowrie, Dionaea)
2. High-interaction: Реальные VM (Windows, Linux)
3. Сетевые: Фейковые роутеры, IoT
4. Web: Поддельные админки
5. Базы: SQL, MongoDB

Данные об атаках:
1. Логи: IP, команды, эксплойты
2. Payload: Малварь, шеллкоды
3. Поведение: Брутфорс, инъекции

Установка и запуск
Запускаются либо как демон, либо в терминале
1. Cowrie (SSH): sudo apt install cowrie / cowrie start
2. Dionaea (SMB, HTTP): sudo apt install dionaea / sudo dionaea -c /etc/dionaea/dionaea.cfg
3. HoneyPy:
git clone GitHub - foospidy/HoneyPy: A low to medium interaction honeypot.
pip3 install -r requirements.txt
python3 honeypy.py

Использование
1. SSH-брутфорс:
tail -f /var/log/cowrie/cowrie.json - указание логов
По ссылке http://localhost:2222
2. Захват бинарников:
sudo dionaea -c /etc/dionaea/dionaea.cfg
ls /var/dionaea/binaries/
Захватывает бинарники, отправленные на SMB/FTP
3. Shodan-проверка:
shodan honeyscore 192.168.1.100
Проверяет, не распознал ли шодан honeypot (0.0–1.0, выше - подозрительно)
4. SpiderFoot:
spiderfoot -s 192.168.1.100 -m sfp_shodan
5. Ловушка для веб-сканеров
python3 honeypy.py --config etc/honeypy.cfg
Эмулирует HTTP-админку, логирует запросы