打造蜜罐服务器 误导攻击者

      攻击者对企业网络的攻击、渗透，往往以获取服务器的控制权，窃取企业敏感数据为目的。服务器一旦部署完成就处于内外攻击之中，安全实践证明，打造百分之百安全的服务器只能是梦想。因此，与其疲于防范，不如改变防御策略主动出击。搭建蜜罐服务器是个不错的方案，通过它分析获取攻击时间、攻击方式，甚至分析攻击者的心理习惯等，既保护了真正的服务器，同时为我们抓捕攻击者提供了依据。

　　下面，笔者搭建测试环境，进行蜜罐服务器的部署及其攻防演示。

网管网www_bitscn_com

　　模拟环境： 网管u家u.bitscn@com

　　虚拟机A(蜜罐服务器) 网管联盟bitsCN@com

　　系统：windows server 2003 网管u家u.bitscn@com

　　IP:192.168.1.10 中国网管论坛bbs.bitsCN.com

　　虚拟机B(攻击主机)

　　系统：Windows XP SP2 网管u家u.bitsCN.com

　　IP:192.168.1.6 网管bitscn_com

　　一、WEB服务器蜜罐攻防 中国网管论坛bbs.bitsCN.com

　　1、工具：Trap Server 网管u家u.bitsCN.com

　　这是一款WEB服务器蜜罐软件，它可以模拟很多不同的服务器，例如：Apache HTTP Server、IIS等。Trap Server蜜罐运行时就会开放一个伪装的WEB服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析。 网管bitscn_com

　　2、部署与设置

中国网管联盟bitsCN.com

　　下载Trap Server安装并运行，在“服务器类别”菜单下有三个选项。分别是“启动IIS服务”、“启动Apache服务器”和“启动EasyPHP服务器”，软件可以模拟上述三种服务器。(图1) 网管联盟bitsCN@com

　　 网管u家u.bitscn@com

　　Trap Server模拟的IIS、Apache和EasyPHP都是WEB服务器，所以默认监听的都是80端口。主页路径默认的是安装Trap Server目录下面的WEB文件夹，可以自己另外设置别的目录。但主页的路径不能修改，可以把自己做的主页放到文件夹里面，这样这款蜜罐就可以做为WEB服务器用了。软件默认监听的80端口，也可以修改，比如系统安装了IIS，占用了80，那么完全可以选择一个没有被占用的端口，比如7626之类的。 中国网管联盟bitsCN.com

网管论坛bbs_bitsCN_com