Dit hoofdstuk behandelt de honeypots die een omgeving bieden die aantrekkelijk is voor een aanvaller, waardoor men kan leren hoe de aanvaller te werk gaat en hoe de aanvallen zelf functioneren. In essentie is het een surveillancemiddel dat, mits goed geïmplementeerd, informatie oplevert die men kan gebruiken om productiemiddelen beter te beveiligen. Er zijn veel verschillende manieren om honeypots te implementeren, maar om effectief te zijn moet een honeypot aantrekkelijk zijn voor een aanvaller. Het is belangrijk om realistische omgevingen op te zetten, zodat de aanvaller niet doorheeft dat hij een honeypot aanvalt, maar eerder denkt dat hij echte bronnen aanvalt. Een kritisch element voor het succes van honeypots is de mogelijkheid om de aanval te detecteren en te monitoren, zodat men kan leren hoe de aanvallen werken en dus hoe men zich ertegen kan beschermen. De flexibiliteit van virtualisatie biedt een goede omgeving voor de implementatie van honeypots, omdat men complexe en robuuste omgevingen kan opzetten met een fractie van de hardware die nodig is voor een overeenkomstige fysieke implementatie.