La diferencia entre un honeypot y un greynet está en el nivel de realismo e interacción que presentan y también en el tipo de elemento de red que presentan. Un honeypot como Honeyd presentará típicamente un mayor nivel de realismo que un greynet, ya que realmente podría actuar como lo haría un anfitrión. Se abren diferentes puertos, sistemas operativos falsificados, etc. que permiten una mayor interacción con el posible atacante. Un greynet simplemente será un rango disponible de IPs que no debería recibir tráfico y ofrecerá muy poca interacción al atacante. El administrador sabe que no debe haber tráfico en esa IP y, por lo tanto, sabe que hay una configuración incorrecta en la red o una entidad maliciosa en funcionamiento. En resumen
Un honeypot suele ser:
- Una única IP en una red que representa un host
- Puede ofrecer un gran nivel de interacción al atacante
A greynet:
- Es una colección de IP en una red
- Puede ofrecer interacción limitada
con el atacante pero no en la medida de un honeypot
Si desea obtener más información sobre cómo se integra Greynets en el campo de los telescopios y el monitoreo de redes, le sugiero que lea la Sección 2.5 de la tesis doctoral del profesor Barry Irwin. Presenta una pequeña taxonomía de los diferentes tipos de telescopios de red, como redes oscuras, redes de distribución, redes de extracción, agujeros negros y sumideros.
Está disponible aquí: enlace
Tenga en cuenta que mi respuesta se basa en la interpretación normal de la terminología. Alguien puede implementar honeypots en cada nodo en su greynet o personalizar su greynet con funcionalidad adicional.
