Honeypots 
Typen von Honeypots
Low Interaction Honeypots
Ein Low-Interaction Honeypot ist meist ein Programm, das einen oder mehrere Dienste emuliert. Die Fähigkeiten eines Low-Interaction-Honeypot sind daher beschränkt, ein versierter Angreifer hat daher wenig Probleme einen Low-Interaction-Honeypot zu erkennen. Um automatisierte Angriffe von Würmern wie zum Beispiel Sasser zu protokollieren reicht ein Low-Interaction Honeypot allerdings vollständig aus.
High Interaction Honeypots
High-Interaction Honeypots sind zumeist vollständige Server, die Dienste anbieten. Der Fokus liegt dabei nicht auf automatisierten Angriffen, sondern darauf manuell ausgeführte Angriffe zu beobachten und protokollieren, um so neue Methoden der Angreifer rechtzeitig erkennen zu können.
Zu diesem Zweck ist es sinnvoll, dass es sich bei einem High-Interaction-Honeypot um ein high value target handelt, einem Server dem von potentiellen Angreifern ein hoher Wert nachgesagt wird.
Zur Überwachung eines High-Interaction-Honeypots wird eine spezielle Software eingesetzt, die vom Kernelspace aus alle Programme des Userspace überwacht, und die anfallenden Daten vom Kernelspace aus an einen loggenden Server sendet.
Ziel ist es, unerkannt zu bleiben, ein Angreifer soll nicht wissen, und auch nicht ändern können, dass er überwacht wird.