無(wú)線蜜罐的技巧Wireless Honeypot Trickery無(wú)線網(wǎng)譯文

2019-11-05 02:21:02

字體：大中小

供稿：網(wǎng)友

無(wú)線蜜罐的技巧Wireless Honeypot Trickery

翻譯者：san

作者：Laurent Oudot

最近幾年，無(wú)線技術(shù)迅猛發(fā)展，現(xiàn)在無(wú)論在公司還是家庭都在廣泛使用。人們已經(jīng)對(duì)那些技術(shù)產(chǎn)生了很大的依靠性，以至于無(wú)線設(shè)備隨處可見，從網(wǎng)絡(luò)設(shè)備到筆記本電腦、照相機(jī)等等。

雖然這些設(shè)備支持標(biāo)準(zhǔn)的安全選項(xiàng)和協(xié)議來(lái)對(duì)付普通攻擊（加密、驗(yàn)證等），但是由于真實(shí)使用的安全等級(jí)以及攻擊者把握的技術(shù)水平，所以這些設(shè)備還是可能受到攻擊。

有時(shí)，黑帽子發(fā)現(xiàn)公司無(wú)線網(wǎng)絡(luò)非常脆弱甚至沒(méi)有安全性，他們能夠以此為撕破口，進(jìn)一步滲透到內(nèi)部的機(jī)器來(lái)竊取信息或者作為跳板攻擊Internet上其它機(jī)器以隱藏自己的蹤跡。這些威脅可以穿越外部物理屏障（比如來(lái)自停車場(chǎng)，公司下的街道、窗口）或者就在你的內(nèi)部環(huán)境，因?yàn)楣粽呤褂檬殖諴DA或筆記本電腦，加上無(wú)線網(wǎng)卡和掃描軟件就可以發(fā)現(xiàn)網(wǎng)絡(luò)。

這篇文章主要介紹無(wú)線環(huán)境（WiFi相關(guān)技術(shù)）下蜜罐的建設(shè)以及對(duì)付黑帽子群體的策略。

1.0 無(wú)線密碼的介紹

Internet上有大量關(guān)于無(wú)線技術(shù)、無(wú)線威脅、無(wú)線安全和蜜罐技術(shù)的優(yōu)秀資源，本文不再覆蓋相關(guān)細(xì)節(jié)，主要關(guān)注核心主題：無(wú)線蜜罐。我們假設(shè)閱讀此文的讀者有無(wú)線網(wǎng)絡(luò)、無(wú)線安全以及蜜罐方面相關(guān)的知識(shí)。

首先我們會(huì)介紹一下什么是無(wú)線蜜罐，然后將通過(guò)兩個(gè)簡(jiǎn)單的技術(shù)樣例來(lái)具體介紹它的原理以及如何設(shè)計(jì)構(gòu)建。在結(jié)束前，我們將介紹這種架構(gòu)的一些局限性。

2.0 定義

Honeynet項(xiàng)目的領(lǐng)導(dǎo)者Lance Spitzner對(duì)蜜罐的定義是這樣的：“蜜罐是一種用來(lái)引誘未經(jīng)驗(yàn)證或非法訪問(wèn)的信息系統(tǒng)資源。”[參考1]

所以無(wú)線蜜罐就可以簡(jiǎn)單的認(rèn)為是等待攻擊者或惡意用戶訪問(wèn)的無(wú)線資源。

3.0 目的

為什么我們要使用無(wú)線蜜罐？這取決于你的網(wǎng)絡(luò)和對(duì)安全的需要。當(dāng)你使用無(wú)線蜜罐后，你會(huì)對(duì)它產(chǎn)生的好處感愛(ài)好的。在黑帽子團(tuán)體里，有很多人喜歡攻擊無(wú)線網(wǎng)絡(luò)，因?yàn)閷?duì)無(wú)線網(wǎng)絡(luò)的攻擊有如下幾個(gè)特點(diǎn)：

安全：在攻擊的時(shí)候無(wú)需實(shí)際的物理連接，可以保持較遠(yuǎn)的距離，所以被發(fā)現(xiàn)的時(shí)候可以跑開；
簡(jiǎn)單：現(xiàn)在到處都有大量開放或者不安全的AP（酒店、機(jī)場(chǎng)、公共區(qū)域無(wú)線服務(wù)點(diǎn)，還有SOHO無(wú)線網(wǎng)絡(luò)等）。這種設(shè)備越來(lái)越便宜，而且數(shù)量越來(lái)越多；
技術(shù)新：無(wú)線網(wǎng)絡(luò)的攻擊比較有吸引力和挑戰(zhàn)性；
隱蔽：對(duì)于黑客和網(wǎng)絡(luò)恐怖分子來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)是一個(gè)理想的作案平臺(tái)。隨機(jī)使用開放AP連接網(wǎng)絡(luò)，增加了攻擊的隱蔽性，被捉獲的可能性很小。

但是很多治理員經(jīng)常認(rèn)為，針對(duì)無(wú)線的攻擊使得攻擊者在位置上必須靠近網(wǎng)絡(luò)設(shè)備，所以無(wú)線攻擊的危險(xiǎn)性要小于Internet的攻擊。而且他們堅(jiān)信這些攻擊很少發(fā)生。但是對(duì)許多公司來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)被攻破帶來(lái)的后果是非常嚴(yán)重的。

無(wú)線蜜罐可以幫助你的網(wǎng)絡(luò)得到受攻擊的真實(shí)統(tǒng)計(jì)數(shù)據(jù)，包括攻擊頻率、攻擊者的技術(shù)水平、攻擊得手次數(shù)以及使用的方法。無(wú)線蜜罐同樣可以保護(hù)你的網(wǎng)絡(luò)，因?yàn)樗拿曰笮允沟霉粽呋ㄙM(fèi)大量精力對(duì)付偽造的目標(biāo)，而且不易發(fā)現(xiàn)你網(wǎng)絡(luò)的真實(shí)構(gòu)架。

4.0 理論與實(shí)踐

怎樣在無(wú)線環(huán)境里愚弄那些壞小子呢？要回答這個(gè)問(wèn)題，你得思考你需要解決哪些威脅，然后制定實(shí)施計(jì)劃。

4.1 無(wú)線活動(dòng)性

首先，攻擊者會(huì)試圖掃描或監(jiān)聽無(wú)線網(wǎng)絡(luò)，所以你可以發(fā)送偽造的數(shù)據(jù)包讓攻擊者認(rèn)為你這兒有一個(gè)無(wú)線網(wǎng)絡(luò)（看后面FakeAP）。配置偽裝的無(wú)線資源是一件很有趣的事情，非凡是模擬蜜罐的數(shù)據(jù)傳輸。但是目前可以自動(dòng)或者輕易使用的這方面公開的工具還很少，不過(guò)我們可以使用以下的腳本來(lái)模擬AP和它的客戶端之間的網(wǎng)絡(luò)會(huì)話，也可以用tcPReplay來(lái)發(fā)送已經(jīng)記錄下來(lái)的數(shù)據(jù)包。

法國(guó)的Honeynet項(xiàng)目有時(shí)使用Perl腳本來(lái)對(duì)一些隨機(jī)的會(huì)話和命令進(jìn)行對(duì)話。來(lái)自ENSEIRB的學(xué)生在對(duì)UML和蜜罐進(jìn)行一些研究后，在2003年6月的法國(guó)SSTIC會(huì)議上提出這個(gè)想法。[參考2]

下面的兩個(gè)腳本提供了自動(dòng)進(jìn)行會(huì)話和執(zhí)行命令的功能，可以用來(lái)模擬無(wú)線數(shù)據(jù)傳輸：
#!/usr/bin/perl
# initiated by Micha?l HERVIEUX, Thomas MEURISSE
# example of script to simulate an automatic FTP session
# feel free to modify it and add random activity
# launch it from your clients (use cron, etc)
use Net::FTP;
$ftp = Net::FTP->new("192.168.16.98");
if ($ftp == NULL)
{
    print "Could not connect to server./n";
    exit(9);
}
if ($ftp->login("barbu1", "StEugede"))
{
    $ftp->cwd("/home/rpm/");
    $ftp->get("Readme.1st");
    $ftp->quit();
}
else
{
    print "Could not login./n";
    exit(7);
}

#!/usr/bin/perl
# initiated by Micha?l HERVIEUX, Thomas MEURISSE
# example of script to simulate an automatic SSH session
# feel free to modify it and add random activity
# launch it from your clients (use cron, etc)

use Net::SSH::Perl;
my $ssh = Net::SSH::Perl->new("192.168.16.98",protocol => 2);
$ssh->login("misc","m4gRul3Z");
$ssh->cmd("who");
$ssh->cmd("uname -a");
# ?

相比有線網(wǎng)絡(luò)，對(duì)于保持蜜罐活動(dòng)性來(lái)說(shuō)無(wú)線網(wǎng)絡(luò)模擬數(shù)據(jù)傳輸非常重要，因?yàn)楣粽咄枰吹接袛?shù)據(jù)傳輸才可以實(shí)施他們的攻擊。繞過(guò)802.1X，繞過(guò)MAC地址過(guò)濾，破解WEP密鑰，看見信標(biāo)，看見了客戶端連接數(shù)據(jù)楨里的SSID，而這一切必須有數(shù)據(jù)傳輸才能進(jìn)行分析。

4.2 無(wú)線構(gòu)架

首先，你起碼有一個(gè)設(shè)備來(lái)提供無(wú)線接入。假如你選擇真實(shí)的AP，那么把它安全的接入一個(gè)有線網(wǎng)絡(luò)（至少有一臺(tái)電腦），這個(gè)偽造的網(wǎng)絡(luò)必須有一些可見的資源來(lái)吸引攻擊者，還有一些不可見的資源來(lái)記錄數(shù)據(jù)和檢測(cè)入侵（捕捉數(shù)據(jù)）。為了監(jiān)視2層無(wú)線的攻擊，必須有一個(gè)不可見的處于Monitor模式的無(wú)線客戶端來(lái)捕捉數(shù)據(jù)，Kismet軟件可以實(shí)現(xiàn)這個(gè)目的。下面的圖1展示了一個(gè)架構(gòu)的樣例：

無(wú)線蜜罐的技巧Wireless Honeypot Trickery無(wú)線網(wǎng)譯文

圖1：WiFi蜜罐架構(gòu)樣例

假如你想給蜜罐網(wǎng)絡(luò)提供Internet接入，那么需要增強(qiáng)你網(wǎng)絡(luò)的真實(shí)性和可交互性，而且必須要非常小心并且使用一些入侵防范系統(tǒng)（IPS）過(guò)濾對(duì)外的網(wǎng)絡(luò)傳輸以防止對(duì)外的攻擊。Honeynet項(xiàng)目的snort-inline就是一個(gè)不錯(cuò)的工具。一般情況，大家還是不愿意給無(wú)線蜜罐提供有效的Internet連接，因?yàn)檫@樣實(shí)在有些危險(xiǎn)。然而接入Internet使得我們對(duì)黑帽子的行為有更多的了解：他們?cè)谀膬涸噲D進(jìn)入Internet？他們是怎樣試圖進(jìn)入Internet的？

舉個(gè)例子，比如你配置的網(wǎng)絡(luò)只答應(yīng)DNS可以自由傳輸，而其它服務(wù)都是需要驗(yàn)證的，那么你可能捕捉到攻擊者試圖通過(guò)DNS數(shù)據(jù)封裝訪問(wèn)到Internet的技巧和工具。這些工具會(huì)暴露他們通過(guò)無(wú)需驗(yàn)證的隧道會(huì)話自由訪問(wèn)Internet而使用的服務(wù)器（比如Nstxd服務(wù)器）的遠(yuǎn)程IP，這最終會(huì)成為我們控告他們的證據(jù)。假如黑帽子擔(dān)心這些風(fēng)險(xiǎn)，那么他們?cè)趯?shí)施非法行動(dòng)的時(shí)候會(huì)有所顧忌，從而使得無(wú)線犯罪攻擊有所減少。

在這種構(gòu)架上，無(wú)線客戶端的布置是另外一個(gè)重要的選項(xiàng)。通常，大家配置的蜜罐都傾向于服務(wù)器，但是客戶端可以更真實(shí)或監(jiān)視某種特定的攻擊。比如在無(wú)線環(huán)境里，客戶端不但能夠模擬無(wú)線數(shù)據(jù)傳還可以監(jiān)視和探測(cè)二層攻擊。實(shí)際上，一些攻擊者通過(guò)監(jiān)聽無(wú)線網(wǎng)絡(luò)數(shù)據(jù)傳輸來(lái)識(shí)別存在的客戶端，有時(shí)這些客戶端由于沒(méi)有很好的配置并且保護(hù)的很糟糕（比如家庭和公司里使用的筆記本電腦），它們就是攻擊者垂涎的目標(biāo)。比如，攻擊者使用自己惡意AP發(fā)送比其無(wú)線環(huán)境里正常使用AP更強(qiáng)的無(wú)線信號(hào)，那么這個(gè)客戶端可能會(huì)自動(dòng)的連接到攻擊者的惡意AP，攻擊者就可以對(duì)它下黑手了：比如中間人攻擊、拒絕服務(wù)、散播新蠕蟲等等。

有一個(gè)簡(jiǎn)單的解決方案，把無(wú)線網(wǎng)卡設(shè)置成Master模式就可以模擬AP，這樣只用一臺(tái)機(jī)器就可以把蜜罐系統(tǒng)搭建起來(lái)，這種方式便宜而且輕易治理。假如它沒(méi)有連接到你的實(shí)際網(wǎng)絡(luò)，那么即使蜜罐被攻破也不會(huì)有什么危險(xiǎn)。而且蜜罐的交互性非常輕易調(diào)整。如下圖，有無(wú)線網(wǎng)卡的電腦使用Honeyd就可以方便的配置成一個(gè)蜜罐。

圖2：簡(jiǎn)單的使用Master模式和Honeyd的無(wú)線客戶端

另外一種可能的方法是直接修改無(wú)線AP，把它改造成一個(gè)蜜罐。這是一件非常有趣而且稍有難度的事情，Linksys的WRT54G非常便宜，而且它的源碼以GPL協(xié)議公開，這樣你可以修改并重建固件，使得AP達(dá)到自己的要求。對(duì)于Honeyd只需做少量的修改，并且編譯成MIPS二進(jìn)制使得可以在AP（運(yùn)行linux 2.4.5）上運(yùn)行，這樣就建立了一個(gè)非常古怪內(nèi)置無(wú)線的蜜罐。也許不久就會(huì)出現(xiàn)類似的商業(yè)無(wú)線蜜罐。

圖3：修改過(guò)固件和內(nèi)置Honeyd的AP

有利即有弊，這種方式的AP也有可能被壞蛋利用，經(jīng)過(guò)定制后被動(dòng)的等待那些無(wú)線驗(yàn)證的無(wú)線客戶端，并且反擊它們。假如你對(duì)惡意蜜罐感愛(ài)好，你可以參加由Dragos Ruiu組織的下屆CanSecWest會(huì)議。

5.0 應(yīng)用實(shí)例

下面將介紹兩種簡(jiǎn)單的無(wú)線蜜罐構(gòu)建例子。

5.1 Honeyd

模擬一個(gè)有無(wú)線接入的網(wǎng)絡(luò)

假如你關(guān)注過(guò)聞名工具Honeyd作者Niels Provos的一些工作，你將會(huì)找到一個(gè)用于無(wú)線蜜罐構(gòu)架下偽裝Internet路由拓?fù)涞呐渲脴永齕參考4]。這個(gè)簡(jiǎn)單的配置展示了在無(wú)線環(huán)境下如何方便的模擬一個(gè)大型網(wǎng)絡(luò)。這種構(gòu)架在一個(gè)叫做Libre Software Meeting 2003的會(huì)議上被使用過(guò)。這種構(gòu)架會(huì)讓外面的攻擊者認(rèn)為他發(fā)現(xiàn)了一個(gè)大型網(wǎng)絡(luò)，當(dāng)他意識(shí)到什么也不是的時(shí)候會(huì)浪費(fèi)數(shù)小時(shí)。

模擬無(wú)線AP

Honeyd另外一個(gè)非常有趣的功能是可以非常簡(jiǎn)單創(chuàng)建偽造服務(wù)并且可以偽造TCP/IP協(xié)議棧，從而愚弄nmap或XProbe等遠(yuǎn)程指紋識(shí)別工具。比如，使用精心挑選的治理AP的web頁(yè)面來(lái)模擬AP，這樣就可以監(jiān)視攻擊者試圖訪問(wèn)治理接口而使用的一些口令，或者可能發(fā)現(xiàn)攻擊者在試圖連接其它開放的服務(wù)（比如SNMP、DNS、DHCP、TFTP等）來(lái)進(jìn)行攻擊。

下面的例子是一個(gè)無(wú)線網(wǎng)卡設(shè)置成Master模式并且運(yùn)行Honeyd的筆記本電腦的測(cè)試方法。假設(shè)你想模擬成有Web服務(wù)器進(jìn)行治理的Linksys WRT54 AP，要讓Honeyd模擬這個(gè)棧和Web服務(wù)器，只需運(yùn)行下面的腳本：
create linksys
set linksys personality " Linux Kernel 2.4.0 - 2.5.20"
add linksys tcp port 80 "/bin/sh scripts/fakelinksys.sh"
add linksys udp open 53 open
add linksys udp open 67 open
add linksys udp open 69 open
set linksys tcp action reset
bind 192.168.1.1 linksys

遠(yuǎn)程攻擊者使用工具nmap(-O檢查系統(tǒng)指紋)將會(huì)看到如下的信息：

Remote Operating system guess: Linux Kernel 2.4.0 - 2.5.20

為了模擬Linksys的Web治理接口，Honeyd需要使用fakelinksys.sh腳本來(lái)處理Web請(qǐng)求。fakelinksys.sh腳本如下：
#!/bin/sh
DATE=`date`
echo "== Httpd break-in attempt [$DATE] ==" >> /tmp/linksys.log
while read request
do
    LINE=`echo "$request" egrep -i "[a-z:]"`
    if [ -z "$LINE" ]
    then
        break
    fi
    echo "$request" >> /tmp/linksys.log
done
echo "==" >> /tmp/linksys.log

cat << _eof_
HTTP/1.0 401 Unauthorized
Server: httpd
Date: $DATE
WWW-Authenticate: Basic realm="WRT54G"
Content-Type: text/Html
Connection: close

<HTML><HEAD><TITLE>401 Unauthorized</TITLE></HEAD>
<BODY BGCOLOR="#cc9999"><H4>401 Unauthorized</H4>
Authorization required.
</BODY></HTML>
_eof_

這種構(gòu)架你可能可以看到攻擊者會(huì)不斷嘗試默認(rèn)口令（linksys/admin），他們還以為自己在攻擊一個(gè)真實(shí)的設(shè)備呢。

5.2 FakeAP

在無(wú)線的世界里，大家對(duì)于無(wú)線掃描和無(wú)線監(jiān)聽稱之為戰(zhàn)爭(zhēng)駕駛（wardriving）或者戰(zhàn)爭(zhēng)漫步（warwalking）。戰(zhàn)爭(zhēng)駕駛一般是試圖發(fā)現(xiàn)開發(fā)的網(wǎng)絡(luò)。迷惑這種潛在的攻擊者最好的方法是模擬許多偽造網(wǎng)絡(luò)，它們將會(huì)浪費(fèi)攻擊者的時(shí)間甚至失去耐心。對(duì)付一個(gè)網(wǎng)絡(luò)相對(duì)輕易，但是對(duì)付一堆迷惑的目標(biāo)可能就不是那么輕易了。

在Defcon X會(huì)議上，Black Alchemy以GPL協(xié)議發(fā)布了一個(gè)免費(fèi)工具叫FakeAP[參考5]，這個(gè)工具可以實(shí)現(xiàn)我們上述目的。它可以發(fā)送指定的無(wú)線網(wǎng)絡(luò)數(shù)據(jù)以愚弄那些菜鳥攻擊者。當(dāng)有人在進(jìn)行戰(zhàn)爭(zhēng)駕駛的時(shí)候，F(xiàn)akeAP可以發(fā)送大量的802.11b信標(biāo)數(shù)據(jù)幀，并且在BSSID（MAC）、ESSID、分配的信道等字段做手腳，這時(shí)遠(yuǎn)程攻擊者被動(dòng)監(jiān)聽數(shù)據(jù)包將會(huì)發(fā)現(xiàn)成千上萬(wàn)的偽造AP。這種方法使用工具也可以輕易實(shí)現(xiàn)，比如在Linux下可以用：iwconfig eth1 ESSID RandomSSID channel N...來(lái)手工實(shí)現(xiàn)。不過(guò)現(xiàn)在有些新工具能夠監(jiān)測(cè)到這些不正常的AP，因?yàn)檫@些被發(fā)現(xiàn)的網(wǎng)絡(luò)沒(méi)有數(shù)據(jù)傳輸。圖4顯示了NetStumbler掃描到一個(gè)蜜罐的情況：

圖4：NetStumbler掃描到一個(gè)FakeAP的蜜罐

6.0 局限性

假如你想布置蜜罐以愚弄攻擊者，你必須模擬的更真實(shí)。有些黑帽子認(rèn)為蜜罐沒(méi)有什么可以害怕的，因?yàn)樗麄冇X(jué)得自己比蜜罐的建造者技術(shù)更高，甚至發(fā)布了如何識(shí)別蜜罐的文章[參考7、8]。在這種公開的游戲里，道高一尺魔高一丈的較量，使得蜜罐技術(shù)也不斷發(fā)展，它的隱蔽性也不斷增強(qiáng)。

無(wú)線蜜罐和傳統(tǒng)蜜罐一樣存在隱蔽性的問(wèn)題，另外無(wú)線環(huán)境還會(huì)帶來(lái)其相關(guān)的問(wèn)題。不過(guò)有個(gè)簡(jiǎn)單的游戲規(guī)則要記住，有經(jīng)驗(yàn)的攻擊者對(duì)“漏洞百出”的網(wǎng)絡(luò)也是心存顧忌的：

你模擬的越真實(shí)，留下可攻擊的漏洞越少，那么你越可能捉住有經(jīng)驗(yàn)的攻擊者（但是這種情況入侵發(fā)生的幾率會(huì)很少）
你的隱蔽性做的越差，留下的破綻越多，你看到成功的攻擊就越多（但是大部分會(huì)是沒(méi)有經(jīng)驗(yàn)的攻擊者）

因此，你可以根據(jù)自己實(shí)際要求來(lái)確定是否使用下面選項(xiàng)建立無(wú)線蜜罐：

信標(biāo)傳播；
WEP（用40位密鑰或128位密鑰，實(shí)際是104位。這樣使得攻擊者破解難度不同）；
MAC過(guò)濾；
802.1X驗(yàn)證；
客戶端和AP之間的無(wú)線傳輸；
無(wú)線客戶端自動(dòng)連接模式打開；
使用各種已知標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)（802.11b、802.11g、802.11a?）。

7.0 結(jié)論

我們沒(méi)法在一個(gè)文檔里對(duì)無(wú)線攻擊的經(jīng)驗(yàn)和技術(shù)介紹的面面俱到，這個(gè)文檔只是幫助你如何建立自己的無(wú)線蜜罐。這種新的安全資源可以方便的對(duì)無(wú)線入侵進(jìn)行有效監(jiān)視，并且可以知道黑帽子是如何攻擊得手的以及他們使用的相關(guān)工具。不管他們是公司的攻擊者、帶寬的偷竊者或者是網(wǎng)絡(luò)恐怖分子，他們都將被發(fā)現(xiàn)。

結(jié)束前，我們將介紹一個(gè)聞名的無(wú)線蜜罐布置真實(shí)案例：科學(xué)應(yīng)用國(guó)際公司（SAIC）在華盛頓地區(qū)建立了第一個(gè)大型的無(wú)線蜜罐用來(lái)捕捉WiFi黑客[參考6]，下面圖5顯示了布置地圖：

(圖片較大，請(qǐng)拉動(dòng)滾動(dòng)條觀看)
圖5：SAIC在華盛頓地區(qū)布置的無(wú)線蜜罐

參考資料

[Lance Spitzner's web site : http://www.trackinghackers.com ]
[Hervieux and Meurisse, Symposium Sécurité des Technologies de l'Information et des Communications, SSTIC 2003, Rennes, France, UML as a Honeypot, http://www.sstic.org/SSTIC03/resumes03.shtml#UML and http://www.sstic.org/SSTIC03/presentations/Honeypots_UML___M._Hervieux_T._Meurisse/ ]
[CanSecWest 2004, Towards Evil Honeypots, when they bite back http://www.cansecwest.com ]
[Honeyd project, by Niels Provos : wireless honeypots examples at http://honeyd.org/config/wireless and at http://honeyd.org/configuration.php ]
[FakeAP tool, by BlackAlchemy : http://www.blackalchemy.to/project/fakeap/ ]
[Wi-Fi Honeypots a New Hacker Trap, by Kevin Poulsen, http://www.securityfocus.com/news/552 ]
[Local Honeypot Identification, by Joseph Corey, http://www.phrack.org/fakes/p62/p62-0x07.txt ]
[Advanced Honey Pot Identification, by Joseph Corey, http://www.phrack.org/fakes/p63/p63-0x09.txt ]