El término coloquial para eso es honeypot . Un sistema honeypot debe ser atractivo para el atacante, pero por lo demás restringido para que no ayude al atacante en sus planes nefarios. Este es un balance bastante delicado. Por ejemplo, un honeypot para atrapar a los spammers debe lucir como si pudiera servir de retransmisión para toneladas de spam, pero preferiblemente no permitir que se envíe mucho spam (o cualquier otro).
Las máquinas virtuales son un método para hacer que varios sistemas compartan el mismo hardware y, sin embargo, estén (nominalmente) aislados unos de otros. El escape de la VM es normalmente imposible, a menos que el motor de la VM tenga un agujero de seguridad, y los motores de la VM tienen tienen agujeros de seguridad, por lo que alojar un honeypot en una VM es algo riesgoso. Es comprensible que, para un honeypot, desee algo barato (después de todo, no contribuirá mucho a su negocio), y una máquina virtual es generalmente más barata que un servidor físico. Pero es realmente más seguro usar una máquina física como honeypot, con una buena separación de red (cortafuegos explícitos, sin VLAN ...). Por otro lado, una máquina virtual puede ser instantánea, lo cual es muy conveniente para el análisis post mortem.
El punto principal de un honeypot es servir como plataforma de observación para aprender qué tipo de ataques están de moda. Las compañías que escriben sistemas de detección de botnets ejecutan honeypots para tener botnets para observar bajo condiciones controladas.