ハニーポットとは、ITプロフェッショナルが悪意のあるハッカーを罠にかけ、ハッカーが有益な情報を得るためにハニーポットと接触することを期待して仕掛ける罠です。ITにおける最も古いセキュリティ対策の一つですが、以下の点に注意してください。
ハッカーをネットワークに誘い込むことは、たとえ隔離されたシステムであっても、危険な行為となることがよくあります。ハニーポットは良い出発点となるかもしれません。「ハニーポットとは、サイバー攻撃の標的になりそうなものを模倣することを目的としたコンピュータまたはコンピューティングシステムのことです。」多くの場合、ハニーポットは既知の脆弱性を意図的に組み込むように設定され、攻撃者にとってより魅力的で明白な標的となります。ハニーポットには本番環境のデータは含まれず、ネットワーク上の正当なトラフィックにも参加しません。だからこそ、ハニーポット内で起こっていることは攻撃の結果だと判断できるのです。誰かが立ち寄っているなら、それは悪事を企んでいるということです。この定義は、脆弱なシステムを数個しか備えていない基本的な仮想マシンから、複数のサーバーにまたがる精巧に構築された偽のネットワークまで、様々なシステムを対象としています。したがって、ハニーポットを構築する人々の目的も、防衛から学術研究まで、多岐にわたります。さらに、ハニーポットの厳密な定義には当てはまらないものの、ハニーポットと同じファミリーに属する、欺瞞技術というマーケティングカテゴリが存在します。しかし、それについては後ほど詳しく説明します。ハニーポットは、ハッカーがどのように不正行為を行うかを詳細に分析することを目的としています。ハニーポットを管理するチームは、ハッカーがシステムに侵入し、権限を昇格させ、標的のネットワークを暴走させるために使用する手法を観察できます。このようなハニーポットは、脅威の状況を調査しようとするセキュリティ企業、学術機関、政府機関によって発見されます。作成者は、どのような種類の攻撃が存在するかを知りたい、特定の種類の攻撃の仕組みを詳しく知りたい、あるいは特定のハッカーを誘い出して攻撃元を突き止めようとしている場合もあります。これらのシステムは、完全に隔離されたラボ環境に組み込まれていることが多く、ハニーポット以外のマシンが攻撃の餌食になるような侵入行為が行われないようにしています。一方、本番環境用ハニーポットは通常、組織の本番環境インフラストラクチャの近くに設置されますが、可能な限り隔離するための対策が講じられています。これらのハニーポットは、多くの場合、組織のネットワークに侵入しようとしているハッカーの注意をそらすためのおとりとして機能し、ハッカーを貴重なデータやサービスから遠ざけます。また、攻撃が進行中であり、少なくとも部分的に成功していることを示す、危険信号としての役割も果たします。

監査を実装する前に、この機能を有効にするとシステムリソース、パフォーマンス、ストレージにどのような影響が及ぶかを評価することが重要です。監査は大量のログを生成し、特に銀行業務などの機密データを扱う環境では、システムにさらなる負荷をかける可能性があります。
影響を理解することで、現在のインフラストラクチャがオーバーヘッドを処理できるかどうか、または事前に最適化やアップグレードが必要かどうかを判断するのに役立ちます。
参考資料 - CEH v13 公式学習ガイド:
モジュール5: システムハッキング
セクション: 監査とログ記録の有効化
引用：
監査を有効にする前に、組織はパフォーマンスとストレージへの影響を評価する必要があります。不適切な実装は、パフォーマンスの低下やログの欠落につながる可能性があります。誤ったオプションの説明：
A) 脆弱性スキャンは重要ですが、監査の実施とは直接関係ありません。
C) 運用上の影響を理解した後、費用対効果分析が行われます。
D). 人員配置は計画ステップであり、最初の技術的アクションではありません。
＝

Windowsのセキュリティモデルでは、末尾が-500のSIDはビルトインのAdministratorアカウント用に予約されています。画像に表示されているSIDは次のとおりです。
S-1-5-21-343818398-789336058-1343024091-500 # ユーザー Joe にマップされます
これは、Joe がドメイン EARTH の真の組み込み管理者アカウントであることを証明します。
CEH v13 コースウェアより:
モジュール4: 列挙
トピック: SID 列挙とアカウント検出
CEH v13 学習ガイドには次のように記載されています。
Windowsでは、RID 500のアカウントは常にデフォルトの管理者アカウントです。名前を変更しても、SIDは-500で終わります。このSIDを列挙することで、攻撃者は特権アカウントを特定できます。誤ったオプション：
A: 不完全です。Joe が SID 500 を持っているというだけでなく、SID 500 は Joe が管理者であることを意味します。
B/C: これらのコマンドは、ゲスト アカウントのステータスを検証しません。
E: 誤り - これらのコマンドは管理者の ID を明示的に証明します。
参照:CEH v13 学習ガイド - モジュール 4: Windows 列挙 # RID 500 識別子Microsoft ドキュメント: 既知の SID

DNSハイジャックは、攻撃者がDNS応答を操作してトラフィックを悪意のあるサーバーにリダイレクトすることで発生します。CEH v13では、DNSSEC（Domain Name System Security Extensions）がこのような攻撃に対する主要な防御策として明確に規定されています。
DNSSECはDNSレコードに暗号署名を追加することで、クライアントがDNS応答の信頼性と整合性を検証できるようにします。DNSSECがなければ、サーバーにパッチが完全に適用されていても、攻撃者はDNS応答を偽装できます。
IPアドレスの変更やLAMPの使用だけでは、DNSの信頼性は確保できません。パッチ適用は不可欠ですが、DNSスプーフィングを防ぐことはできません。
CEH v13 では、キャッシュ ポイズニングと DNS ハイジャック攻撃を防ぐために DNSSEC が明示的に推奨されているため、オプション C が正解となります。

Slow HTTP POST攻撃は、WebサーバーがHTTPリクエストを処理する方法を悪用するサービス拒否（DoS）攻撃の一種です。攻撃者は、リクエストボディに大量のデータを指定することで、正当なHTTP POSTヘッダーをWebサーバーに送信します。しかし、攻撃者はその後、非常に低速でデータを送信することで接続を開いたままにし、サーバーのリソースを占有します。攻撃者はこのような接続を複数回確立することで、サーバーの同時リクエスト処理能力を超過させ、正当なユーザーがWebサーバーにアクセスできないようにすることができます。
攻撃継続時間Dは、D = a * bという式で表されます。ここで、aは接続数、bは接続あたりのホールドアップ時間です。攻撃者はaとbを操作することでDを最大化しようとします。サーバーは1秒あたりm個の接続を処理できますが、mを超える接続はシステムに過負荷をかけます。したがって、サーバーの非稼働時間が最も長くなる可能性が最も高いシナリオは、a > mかつbが最大となるシナリオです。4つのオプションのうち、これはオプションBに該当し、a = 100、m = 90、b = 15となります。
このシナリオでは、D = 100 * 15 = 1500秒となり、4つのオプションの中で最も長くなります。オプションAはbが大きいものの、a < mであるため、サーバーは過負荷になることなく接続を処理できます。オプションCはa > mですが、bが小さいため、攻撃時間は短くなります。オプションDはa > mですが、bが小さく、aとmの差も小さいため、攻撃時間も短くなります。
参考文献:
スロー POST 攻撃とは何か？そしてそれを防ぐには？（ガイド）
Apache HTTP ServerにおけるSlow HTTP GET/POST脆弱性の軽減 - Acunetix Slow Post DDoS攻撃とは？ | NETSCOUT