Il termine colloquiale è honeypot . Un sistema di honeypot deve essere attraente per l'attaccante, ma diversamente vincolato in modo che non aiuti l'aggressore nei suoi nefandi progetti. Questo è un equilibrio piuttosto delicato. Ad esempio, un honeypot per intrappolare gli spammer deve cercare come se potesse fungere da relay per tonnellate di spam, ma preferibilmente non consentire che molti spam (o altri) vengano effettivamente inviati.
Le macchine virtuali sono un metodo per far sì che diversi sistemi condividano lo stesso hardware, e tuttavia siano (nominalmente) isolati l'uno dall'altro. L'evasione dalla VM è normalmente impossibile, a meno che il motore della VM non abbia un buco di sicurezza e i motori VM esistenti do abbiano falle nella sicurezza, quindi ospitare un honeypot in una VM è un po 'rischioso. È comprensibile che, per un honeypot, tu voglia qualcosa economico (non contribuirà molto alla tua attività, dopotutto), e una VM di solito è più economica di un server fisico. Ma è davvero più sicuro usare una macchina fisica come honeypot, con una buona separazione di rete (firewall espliciti, nessuna VLAN ...). D'altra parte, una VM può essere un'istantanea, che è molto comoda per l'analisi post mortem.
Il punto principale di un honeypot è di servire come piattaforma di osservazione per scoprire quale tipo di attacco è in voga. Le aziende che scrivono sistemi di rilevamento delle botnet eseguono honeypot affinché le botnet possano osservare in condizioni controllate.