Se trata de uma evolução do Honeypot. É uma ferramenta de pesquisa, consistindo de uma rede projetada especificamente para ser comprometida, contendo mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes.

Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas operacionais, fornecendo diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para geração de alertas.

Existem dois tipos de honeynets: as honeynets reais (ou simplesmente honeynets) e as honeynets virtuais.

Honeynets reais

Em uma honeynet real todos os dispositivos que a compõem, incluindo o honeypot, mecanismos de contenção, mecanismo de alerta e mecanismo de coleta de informações são físicos. Exemplificando, uma honeynet real poderia ser composta por diversos computadores, sendo que cada um poderia conter um honeypot, firewall, IDS (Sistema de Detecção de Intrusos) e IPS (Sistema de Prevenção de Intrusos), entre outros. As vantagens de utilizar honeynet real são o baixo custo por dispositivo e fato de os atacantes interagirem com ambientes reais. As desvantagens são as manutenções que são mais difíceis e trabalhosas, a maior necessidade de mais espaço físico e o custo total que tende a ser mais alto.

Honeynets virtuais

Uma honeynet virtual baseia-se na ideia de ter todos os componentes de um honeypot implementados em um número reduzido de dispositivos físicos. Para concretizar tal ideia, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização como o VMware, VirtualBox entre outros.

As vantagens de utilizar honeynet virtual é a manutenção que é bem mais simples, não há necessidade de um espaço físico maior para os equipamentos e o custo final tende a ser mais baixo. As desvantagens são o alto custo por dispositivo, pois são necessários equipamentos mais robusto para um bom desempenho da honeynet., O atacante pode ter acesso a outras partes do sistema, pois tudo é compartilhado de um mesmo computador e o mesmo pode perceber que está interagindo com um ambiente falso, uma rede virtual, e isso pode pôr em risco a efetividade da técnica.

De acordo com Honeynet Projetc (2002) o conceito do funcionamento de uma honeynet é criar uma rede altamente controlada. Spitzner (2002) diz que a ideia da honeynet é a de ter uma arquitetura que cria uma rede altamente controlada, onde colocamos dentro desta rede sistemas de produção e assim toda atividade realizada dentro dela será capturada, armazenada e analisada para criação de possíveis métodos de proteção contra ataques cibernéticos. Honeynet Project (2002) ainda afirma que a captura de dados e o controle de dados são os grandes responsáveis para que uma honeynet seja bem elaborada.