Honeypot ها يك تكنولوژي جديد می باشند که قابليتهاي فراواني براي  جامعه امنيتي دارند. البته مفهوم آن در ابتدا به صورتهاي مختلفي تعريف شده بود به خصوص توسط Cliff Stoll در كتاب « The Cuckoos Egg » . از آنجا به بعد بود كه Honeypot ها شروع به رشد كردند و به وسيله ابزارهاي امنيتي قوي توسعه يافتند و رشد آنها تا به امروز ادامه داشته است. هدف اين مقاله تعريف و شرح واقعي Honeypot مي باشد و بيان منفعت ها و مضرات آنها و اينكه آنها در امنيت چه ارزشي براي ما دارند.

تعريف

قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهایی قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!

البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:

 یک Honeypot يك منبع سيستم  اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتی از فعالیتهای بی مجوز و نا مشروع جمع آوری می کند.

 البته اين يك تعريف كلي مي باشد كه تمامي گونه هاي مختلف Honeypot ها را در نظر گرفته است. ما در ادامه مثالهاي مختلفي براي Honeypot ها و ارزش امنيتي آنها خواهيم آورد. همه آنها در تعريفي كه ما در بالا آورده ايم مي گنجند ، ارزش دروغين آنها براي اشخاص بدي كه با آنها در تماسند. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.

فوايد Honeypot ها

 Honeypot  مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.

1.   داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot  ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.

2.   ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.

3.   كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.

4.   رمز كردن يا IPv6 :  بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود  مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.

مضرات Honeypot ها

 شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.

1-  محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.

2-  ريسك : همه تكنولوژيهاي امنیتی داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.

 چگونگي و شيوه به كار بردن Honeypot ها مي باشد  كه ارزش و فوايد و مضرات آنها را مشخص مي كند. در ادامه بيشتر روي آن بحث خواهد شد.

انوع Honeypot ها

Honeypot ها در اندازه و شکلهای مختلفی هستند و همین امر باعث شده است که فهم آنها کمی مشکل شود. برای اینکه بتوان بهتر آنها را فهمید همه انواع مختلف آنها را در دو زیر مجموعه آورده ایم:

1- Honeypot های کم واکنش

2- Honeypot های پرواکنش

این تقسیم بندی به ما کمک می کند که چگونگی رفتار آنها را بهتر درک کنیم. و بتوانیم به راحتی نقاط ضعف و قدرت آنها و توانایی ها یشان را روشن تر کنیم. واکنش در اصل نوع ارتباطی که یک نفوذگر با Honeypot دارد را مشخص می کند.

Honeypot های کم واکنش دارای ارتباط و فعالیتی محدود می باشند.آنها معمولا با سرویسها و سیستم های عامل را شبیه سازی شده کار می کنند. سطح فعالیت یک نفوذگر با سطحی از برنامه های شبیه سازی شده محدود شده است. به عنوان مثال یک سرویس FTP شبیه سازی شده که به پورت 21 گوش می کند  ممکن است فقط یک صفحه login و یا حداکثر تعدادی از دستورات FTP را شبیه سازی کرده باشد . یکی از فواید این دسته از Honeypot های کم واکنش سادگی آنها می باشد.

نگهداری Honeypot های کم واکنش  بسیار راحت و آسان است و خیلی راحت می توان آنها را گسترش داد و ریسک بسیار کمی دارند. آنها بیشتر درگیر این هستند که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می خواهید چه سرویسهایی را برای آن شبیه سازی و دیده بانی (Monitor ) کنید.

همین رهیافت خودکار و ساده آنها است که توسعه آن را برای بسیاری از شرکت ها راحت می کند. البته لازم به ذکر است که همین سرویسهای شبیه سازی شده باعث می شود که فعالیت های فرد نفوذگر محدود شود و همین امر باعث کاهش ریسک می گردد. به این معنی که نفوذگر نمی تواند هیچگاه به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستم های دیگر آسیب برساند.

یکی از اصلی ترین مضرات Honeypot های کم واکنش این است که آنها فقط اطلاعات محدودی را می توانند ثبت کنند و آنها طراحی می شوند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند.همچنین شناختن یک Honeypot کم واکنش برای یک نفوذگر بسیار راحت می باشد. نگران این نباشید که شبیه سازی شما چه اندازه خوب بوده است زیرا که نفوذگران حرفه ای به سرعت یک Honeypot کم واکنش را از یک سیستم واقعی تشخیص می دهند.  از Honeypot های کم واکنش  می توان Spector , Honeyd و KFSensor را نام برد.

Honeypot های پر واکنش متفاتند. آنها معمولا از راه حل های پیچیده تری استفاده می کنند زیرا که آنها از سیستم عاملها و سرویسهای واقعی استفاده می کنند. هیچ چیزی شبیه سازی شده نیست و ما یک سیستم واقعی را در اختیار نفوذگر می گذاریم.

اگر شما می خواهید که یک Honeypot لینوکس سرور FTP داشته باشید شما باید یک لینوکس واقعی به همراه یک سرویس FTP نصب کنید. فایده این نوع Honeypot دو چیز است. شما می توانید یک حجم زیادی از اطلاعات را به دست آورید. با دادن یک سیستم واقعی به فرد نفوذگر شما می توانید تمامی رفتار او از rootkit های جدید گرفته تا یک نشست IRC را زیر نظر بگیرید. دومین فایده Honeypot های پرواکنش این است که دیگر جای هیچ فرضیه ای روی رفتار نفوذگر باقی نمی گذارد و یک محیط باز به او می دهد و تمامی فعالیتهای او را زیر نظر می گیرد. همین امر باعث می شود که Honeypot های پرواکنش رفتارهایی از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ایم و یا نمی توانسته ایم حدس بزنیم!!

بهترین جا برای استفاده از این نوع Honeypot ها زمانی است که قصد داریم دستورات رمز شده یک در پشتی را روی یک شبکه غیر استاندارد IP  به دست بیاریم. به هر حال همین امور است که ریسک اینگونه Honeypot ها را افزایش می دهد زیرا که نفوذگر یک سیستم عامل واقعی را در اختیار دارد و ممکن است به سیستم های اصلی شبکه صدمه بزند. به طور کلی یک Honeypot پرواکنش می تواند علاوه بر کارهای یک Honeypot کم واکنش کارهای خیلی بیشتری را انجام دهد.

برای فهم بهتر اینکه Honeypot کم واکنش و پرواکنش چگونه کار می کنند بهتر است دو مثال واقعی در این زمینه بیاوریم. با Honeypot های کم واکنش شروع می کنیم.

Honeyd : یک Honeypot کم واکنش

Honeyd یک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز می باشد و برای مجموعه سیستم عاملهای یونیکس ساخته شده است.(فکر کنم روی ویندوز هم برده شده است ) . Honeyd بر اساس زیر نظر گرفتن IP های غیر قابل استفاده بنا شده است. هر چیزی که قصد داشته باشد با یک IP غیر قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلی قطع کرده و با نفوذگر ارتباط برقرار می کند و خودش را جای قربانی جا می زند.

به صورت پیش فرض Honeyd تمامی پورتها TCP و یا UDP را زیر نظر گرفته و تمامی درخواستهای آنها را ثبت می کند. همچنین برای زیر نظر گرفتن یک پورت خاص شما می توانید سرویس شبیه سازی شده مورد نظر را پیکربندی کنید مانند شبیه سازی یک سرور  FTP که روی پروتکل TCP پورت 21 کار می کند.وقتی که  نفوذگر با یک سرویس شبیه سازی شده ارتباط برقرار می کند تمامی فعالیتهای او را با سرویسهای شبیه سازی شده دیگر ثبت کرده و زیر نظر می گیرد. مثلا در سرویس FTP شبیه سازی شده ما می توانیم نام کاربری و کلمه های رمزی که نفوذگر برای شکستن FTP سرور استفاده می کند و یا دستوراتی که صادر می کند را به دست آوریم و شاید حتی پی ببریم که او به دنبال چه چیزی می گردد و هویت او چیست !

همه اینها به سطحی از شبیه سازی بر می گردد که Honeypot در اختیار ما گذاشته است. بیشتر سرویسهای شبیه سازی شده به یک صورت کار می کنند. آنها منتظر نوع خاصی از رفتارهای هستند و طبق راههایی که قبلا تعیین کرده اند به این رفتارهای واکنش نشان می دهند.

اگر حمله A این را انجام داد از این طریق واکنش نشان بده و اگر حمله B این کار را کرد از این راه واکنش نشان بده!

محدودیت این برنامه ها در این است که اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد. بنابراین آنها نمی دانند که چه پاسخی را باید برای نفوذگر ارسال کنند. بیشتر Honeypot های کم واکنش - مانند Honeyd - یک پیغام خطا نشان می دهند. شما می توانید از کد برنامه Honeyd کل دستوراتی که برای FTP شبیه سازی کرده است را مشاهده کنید.

Honeynet ها : یک Honeypot پر واکنش

Honeynet یک مثال بدیهی برای Honeypot های پرواکنش می باشد. Honeynet ها یک محصول نمی باشند. آنها یک راه حل نرم افزاری که بتوان روی یک کامپیوتر نصب شوند نمی باشد. Honeynet ها یک معماری می باشند . یک شبکه بی عیب از کامپیوترهایی که طراحی شده اند برای حملاتی که روی آنها انجام می گیرد. طبق این نظریه ما باید یک معماری داشته باشیم که یک کنترل بالایی را روی شبکه ایجاد کند تا تمامی ارتباطات با شبکه را بتوان کنترل کرد و زیر نظر گرفت.

درون این شبکه ما چندین قربانی خیالی در نظر می گیریم البته با کامپیوترهایی که برنامه های واقعی را اجرا می کنند. فرد هکر این سیستم ها را پیدا کرده و به آنها حمله می کند و در آنها نفوذ می کند اما طبق ابتکار و راهکارهای ما ! یعنی همه چیز در کنترل ما می باشد. البته وقتی آنها این کارها را انجام می دهند نمی دانند که در یک Honeynet گرفتار شده اند. تمامی فعالیت های فرد نفوذگر از نشست های رمز شده SSH گرفته تا ایمیل ها و فایلهایی که در سیستم ها قرار می دهند همه و همه بدون آنکه آنها متوجه شوند زیر نظر گرفته و ثبت می شود. در همان زمان نیز Honeynet تمامی کارهای نفوذگر را کنترل می کند. Honeynet ها این کارها را توسط دروازه ای به نام Honeywall انجام می دهند. این دروازه به تمامی ترافیک ورودی اجازه می دهد که به سمت سیستم های قربانی ما هدایت شوند ولی ترافیک خروجی باید از سیستم های مجهز به IDS عبور کند. این کار به نفوذگر این امکان را می دهد که بتواند ارتباط قابل انعطاف تری با سیستم های قربانی داشته باشد اما در کنار آن اجازه داده نمی شود که نفوذگر با استفاده از این سیستم ها به سیستم های اصلی صدمه وارد کند.

جايگاه Honeypot ها

حال كه آشنايي ابتدايي با هر دو نوع Honeypot داريم لازم است كه ارزش و جايگاه آنها را در دنياي امنيتي بيان كنيم ، به خصوص در ادامه بيان خواهيم كرد كه چگونه بايد از Honeypot استفاده كنيم.

همانطور كه قبلا اشاره كرديم دو دسته Honeypot داريم كه براي اهداف و تحقيقات ما مورد مطالعه قرار مي گيرند. وقتي از Honeypot  ها به صورت محصولات توليد شده براي محافظت از سازمان ها استفاده مي كنيم مي توانند ما را در موارد مختلفي محافظت كنند از جمله مي توان محافظت ، كشف و پاسخ مناسب به يك حمله را بيان كرد. وقتي آنها را در جهت امور تحقيقاتي به كار مي بريم Honeypot ها اطلاعات لازم را براي ما جمع آوري مي كنند. البته اين اطلاعات براي سازمانهاي مختلف فرق مي كند. عده اي شايد بخواهند دشمنان بيروني خود را شناسايي كنند ، يا كارمندان و خريداران خرابكار خود را بشناسند اين سازمانها نيز مي توانند از اين دسته Honeypot ها استفاده كنند.

اگر بخواهيم به صورت كلي بيان كنيم Honeypot هاي كم واكنش به عنوان محصولات توليدي به كار مي روند در صورتيكه Honeypot هاي پرواكنش براي عملياتهاي تحقيقاتي روي شبكه به كار گرفته مي شوند. البته هر كدام از آنهامي توانند در اهداف ديگر نيز به كار روند .

Honeypot هاي توليداتي مي توانند ما را در سه رده زير كمك كنند:

1-      پيشگيري (Prevention )

2-      رديابي يا كشف( Detection )

3-      پاسخ ( Response )

كه در ادامه به صورت عميق تري روي آنها بحث مي كنيم.

Honeypot ها از راههاي مختلفي مي توانند ما را از حملات حفظ كنند. ابتدا حملاتي كه به صورت اتوماتيكي انجام مي شود مثل كرمها و يا Auto-rooter ها . اين حملات به اين صورت كار مي كنند كه نفوذگران با استفاده از بعضي از ابزارها يك رنجي از شبكه ها را پويش كرده تا آسيب پذيري سرورهاي موجود  در اين شبكه را پيدا كنند اين ابزارها پس از پيدا كردن آسيب پذيريهاي موجود ، به اين سيستم ها حمله مي كنند. (مانند كرم ساسر كه وقتي سيستمي را آلوده مي كرد به صورت اتوماتيك و به وسيله يك آدرس IP تصادفي ، سيستم ديگري را نيز آلوده مي كرد). روشي كه Honeypot ها براي محافظت شبكه ما از اين گونه حملات استفاده مي كنند اين است كه مي توانند سرعت اينگونه حملات را كند كنند و يا حتي آنها را متوقف كنند! به اين دسته از Honeypot ها Honeypot هاي چسبنده (Sticky ) مي گويند. در اين راه حل Honeypot ها ، آن دسته از آدرس هايي را كه در شبكه استفاده نمي شوند ، در نظر مي گيرند و به آنها واكنش نشان مي دهند. يعني هنگاميكه يك برنامه مخرب يا نفوذگر قصد پويش رنجي از آدرس ها را دارد ، Honypot به آن دسته از آدرس هايي كه در شبكه موجود نمي باشند واكنش نشان مي دهد براي مثال با استفاده از پيغامهاي TCP روند اين گونه حملات را آهسته تر مي كند. (براي نمونه، با دادن پيغام پنجره صفر ، نفوذگر را در يك گودال هل مي دهد تا نتواند بسته هاي ديگر را ارسال كند) اين امر براي آهسته كردن سرعت انتشار  و يا محافظت در برابر كرمهايي كه شبكه داخلي ما را مورد هجوم قرار مي دهند بسيار مناسب است. LaBrea جزو اين دسته از Honeypot ها مي باشد.

Honeypot هاي چسبنده اغلب به عنوان يك Honeypot كم واكنش شناخته مي شوند. (البته شما مي توانيد آنها را Honeypot هاي بدون واكنش بناميد زيرا كه آنها فقط سرعت نفوذ يك نفوذگر را در شبكه كند مي كنند )

Honeypot همچنين مي توانند سازمان شما را از اشخاص نفوذگر محافظت كنند. البته اين كار فقط حيله اي مي باشد كه باعث تهديد و ارعاب نفوذگر  مي شود. يعني نفوذگر را گيج و دست پاچه كنيم تا بتوانيم از اين طريق وقت او را به وسيله درگير شدنش با Honeypot بگيريم. در ضمن سازمان شما مي تواند با كشف فعاليتهاي نفوذگر و داشتن زمان لازم براي پاسخ ، اين گونه جملات را متوقف كند.

حتي مي توان يك مرحله بالاتر رفت . اگر نفوذگر بداند كه سازمان شما از Honeypot استفاده مي كند ولي نداند كه كدام سيستم Honeypot مي باشد هميشه يك نگراني در ذهن خود دارد كه « آيا اين يك سيستم حقيقي است يا در يك Honeypot گرفتار شده ام !! » و ممكن است همين نگراني باعث شود كه هيچگاه به فكر نفوذ در شبكه شما نيفتد. بنابراين Honeypot مي توانند نفوذگران را بترسانند. Deception Toolkit يكي از همين نوع Honeypot هاي كم واكنش مي باشد.

راه دومي كه Honeypot ها به محافظت سازمانها كمك مي كنند از طريق كشف يا رديابي است.عمل كشف خيلي بحراني مي باشد كه وظيفه اش شناسايي ناتواني ها و از كار افتادگي هاي بخش پيشگيري مي باشد. صرف نظر از اينكه امنيت يك سازمان به چه صورت مي باشد معمولا اتفاقي براي شبكه هاي آنها مي افتد كه باعث بعضي از شكست ها مي گردد. صرف نظر از مشكلات و درگيري هايي كه اشخاص براي كشف يك حمله انجام مي دهند، وقتي يك حمله شناسايي شود مي توان خيلي سريع به آن واكنش نشان داد و  آن را متوقف كرد و يا حداقل اثر آن را كمتر كرد. متاسفانه كشف يك حمله بسيار كار مشكلي مي باشد. تكنولوژي هايي مانند IDS ها و فايلهاي ثبت وقايع(log) از جهاتي بدون اثر مي باشند. آنها داده هاي فراواني را توليد مي كنند كه خواندن تمامي آنها زمان فراواني را مي طلبد و بسياري از اين داده ها نيز بيهوده و به درد نخور مي باشند. همچنين آنها در كشف حملات جديد نيز ناتوان مي باشند. حتي نمي توانند با محيط هاي رمز شده و يا IPV6 كار كنند. Honeypot ها براي كشف و رديابي يك حمله نسبت به اين تكنولوژيهاي قديمي برتري دارند.  Honeypot داده هاي كم و با قطع و يقين بيشتري جمع آوري مي كند كه ارزش بسيار فراواني دارد.آنها حتي مي تواند حملات جديد و يا كدهاي چند شكلي را به راحتي كشف كنند و مي توانند در محيطهاي رمز شده و IPv6 نيز استفاده شوند.

براي اينكه اطلاعات بيشتري راجع به اين دسته از Honeypot كسب كنيد مي توانيد مقاله Honeypot:Simple,Cost Effective Detection را مطالعه كنيد. به هر جهت Honeypot هاي كم واكنش بهترين راه حل براي كشف مي باشند. ساخت و نگهداري آنها آسان تر از Honeypot هاي پر واكنش مي باشد و همچنين ريسك كمتري نسبت به آنها دارد.

سومين و آخرين راهي كه honeypot ها سازمانهاي ما را محافظت مي كنند پاسخ( Response )  است. هر زماني كه يك سازمان يك خطا و مشكلي را در شبكه خود تشخيص داد حال چگونه بايد پاسخ دهد؟ همين موضوع مي تواند يكي از چالش هايي باشد كه يك سازمان با آن مواجه مي باشد. معمولا اطلاعات كمي درباره اينكه نفوذگر چه كسي است! و چه كاري مي خواهد انجام دهد!، وجود دارد. در اين وضعيت كوچكترين اطلاعات درباره فعاليت هاي نفوذگر، مهم و حيلاتي است.

معمولا در پاسخ مناسب به يك حمله دو تا مشكل وجود دارد؛ ابتدا اينكه ، بيشتر سيستم هايي كه مورد هجوم قرار گرفته اند را نمي توان براي يك تجزيه و تحليل مناسب ، از كار انداخت . سيستم هاي توليداتي ، مانند سرور پست الكترونيكي براي يك سازمان بسيار مهم و حي�