Anti-empreinte¶
HYDRA implémente un anti-empreinte profond pour déjouer les techniques standard utilisées par les attaquants pour identifier les honeypots.
Techniques¶
Bannière SSH¶
La bannière SSH est configurée pour correspondre exactement à un vrai serveur Ubuntu :
Beaucoup de honeypots utilisent des bannières génériques ou incorrectes. La bannière d'HYDRA correspond précisément à la version OS du persona.
/proc/1/cgroup¶
Les honeypots traditionnels tournant dans Docker exposent des traces de conteneur dans /proc/1/cgroup. HYDRA retourne une sortie cgroup propre sans aucune référence Docker, containerd ou LXC — exactement ce qu'un serveur Ubuntu bare-metal montrerait.
Délai d'authentification¶
Les vrais serveurs SSH prennent 0,5–2,0 secondes pour traiter l'authentification sous charge. HYDRA ajoute un délai aléatoire dans cette plage. Une authentification instantanée (0ms) est un signe classique de honeypot.
Cohérence du noyau¶
uname -r retourne une version de noyau correspondant à la release Ubuntu du persona. Le même noyau apparaît dans /proc/version, les logs de boot, et tout autre emplacement qu'un attaquant pourrait vérifier.
Détection d'évasion Kinsing¶
Le botnet Kinsing utilise /bin/./uname (avec un dot-slash) au lieu de /usr/bin/uname pour éluder le matching simple de commandes. Le cmd_router de HYDRA normalise ces chemins et les gère correctement — 148 sessions Kinsing ont été capturées sans détection.
Jitter temporel des réponses¶
Les réponses LLM sont artificiellement retardées avec un jitter aléatoire pour simuler une latence I/O réaliste. Une réponse instantanée à cat /etc/shadow (qui devrait impliquer de l'I/O disque) serait suspecte.
Fichiers de remplissage universels¶
Un vrai répertoire /root contient toujours des dotfiles résiduels d'une utilisation normale : .Xauthority, .lesshst, .viminfo, .rnd, .putty/, etc. HYDRA ajoute ces « fichiers de remplissage » à chaque persona pour que ls -la /root ne montre pas un répertoire suspecteusement propre avec seulement 4 fichiers.