打造蜜罐服务器 误导攻击者

        <2008-1-20> <11:06:51> Listening for HTTP connections on 0.0.0.0:80.

　　User logged in

　　<2008-1-20> <11:07:23> Command GET /receibed form 192.168.1.6:2025

　　Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm(4628 bytes /4628 bytes sent to 192.168.1.6:1943)

　　User logged out

　　第一行表示，Trap Server开始侦听服务器的80端口。接下来是有一个账户登录服务器，发送了一个命令，行为是GET，后面是该账户的IP地址和使用的端口。再下面一行就是登录者获取的文件，是IIS下面的index.htm，发送2648个字节给这个地址的GET请求，完成之后用户退出。

　　其实有黑客攻击经验的用户都知道此记录代表的意思。他表示有攻击者用Telnet连接了我们的蜜罐服务器，并进行了版本探测。很多朋友都系统用手工的方法去探测服务器版本，最常用的就是直接用Telnet去连接服务器的80端口，然后输入get index.htm，通过返回的信息就知道服务器的版本了。(图4)

　　4、记录与跟踪

　　在实际应用方面，Trap Server正是当下非常流行的SQL注入的天敌，能详细地记录各种手工的和利用工具实现的方法，并完整地再现当时的入侵过程。

　　另外，在遭受攻击时，如果不知道攻击者的真实IP地址，可以点击“跟踪”按钮，软件会跟踪IP经过的路由，揪出攻击者的IP地址。(图5)

上一页  [1] [2] [3] [4] [5] [6] 下一页

【责编:Zenghui】