Grupy badawcze, takie jak np. Honeynet Project, używają pułapek do przechwytywania informacji o metodach hakerskich .

Pułapki używane są także do wykrywania ataków i - w mniejszym zakresie – do odpierania ataków. W szczególności systemy te mogą być umieszczane w produkcyjnych systemach komputerowych, wśród maszyn o znaczeniu krytycznym. Pułapki mogą działać jako proste systemy wykrywania włamań. Mogą także używać podstępów w celu zmylenia napastnika. W takim wypadku zakłada się, że tworzenie większej liczby celów dla napastników zmniejsza prawdopodobieństwo uderzenia w prawdziwe maszyny.

Zobacz również:

• Hakerzy włamali się do znanego polskiego sklepu internetowego

Dobre rezultaty daje odpieranie ataków z wykorzystaniem farm pułapek i architektury, która zakład stosowanie urządzenia rutującego do przekierowania ataków. Atak wymierzony w system rzeczywisty może być skierowany, bez wiedzy atakującego, do pułapki udającej oryginalny cel. Takie przekierowanie spełnia trzy podstawowe cele:

* atak na prawdziwy system zostanie zneutralizowany

* atakujący nie wie, że atakuje pułapkę i jest mało prawdopodobne, aby sprawdzał system, czy rzeczywiście jest tym, za który się podaje. Większość działań związanych z rozpoznaniem sieci przez atakujących będzie wykonywana na prawdziwych serwerach, a tylko bieżący ruch ataku zostanie skierowany do pułapek.

* każdy atak osiągający pułapkę może być dogłębnie przestudiowany i użyty do lepszego zabezpieczenia rzeczywistych serwerów, ponieważ mają one te same nieszczelności

Każdy niebezpieczny ruch przechwycony przez pułapkę na pewno osiągnąłby rzeczywisty serwer, gdyby nie został skierowany do pułapki. Strategia ta ma szereg przewag nad tradycyjnymi metodami odpierania ataków: trudno jest zabezpieczyć się przed atakiem, który właśnie ma miejsce, najlepiej odciągnąć go od rzeczywistego systemu i skierować w inne miejsce - do pułapki.

Metoda podstępu stosowana przez niektóre pułapki może pomóc w ochronie komputerów produkcyjnych. Jednakże metoda ta ma także swoje ograniczenia. Stworzenie ‘zasłony dymnej’ węzłów sieci może zmylić hakera, ale co się stanie, gdy atak osiągnie jednak rzeczywisty serwer? Wtedy nie ma już możliwości przeanalizowania takiego ataku.

Kluczowym zagadnieniem w przekierowaniu ataków jest filtrowanie pakietów. Dostępnych jest wiele metod filtrowania, ale to podejście wymaga zarówno sprawdzania pełnej zawartości pakietu jak i zdolności zmiany pól w pakiecie. Pełna kontrola zawartości jest konieczna, jeżeli ma być rozpoznawana większość ataków, a zawartość pakietów musi być zmieniana w celu wykonania przekierowania.