搭建蜜罐来保护web服务器.doc

搭建蜜罐来保护WEB服务器“蜜罐”即让黑客误以为已经成功入侵网络，并且让其继续“为所欲为”，我们的目的在于拖延时间，以便我们的管理员能把黑客“抓住”。我们使用的软件是“TRAPSERVER”,它能模仿很多WEB服务器，如APACHEHTTPSERVER，MICOSOFTIIS等服务器。1．这里选择做IIS服务器，在”TARGETHSOT”里填入本服务器IP地址，”LASTATTACKER”记录的是上次“攻击”服务器的IP地址。2．下面我们配置一下真实的IIS服务器，我们填入8080，这样做是位了迷惑对方。在浏览器里键入HTTP//192168102508080到达真是的WEB站店，80端口就是“蜜罐”。3．这时为了让通过直接访问80端口可以访问真实的WEB服务器，又能让蜜罐记录，这需要一个端口重定向程序FPIPE。在下使用FPIPE–L80–S53–R808019216810250将连接本机80端口的主机通过53端口连接到WEB服务器，端口为我们设定的80804．当访问HTTP//19216810250时，将看到FPIPE记录连接重定向。5我们用一个黑客工具模拟测试一下，用很老的IISIDQ溢出程序进行测试。6．这个时溢出攻击不成功的，我们的IIS是基于WIN2KSP4的，没这个古老的漏洞，然后在TRAPSERVER上可以看到对方的攻击记录。这样就达到了HONEYPOT的目的了。实例一一般来说，像我这样的菜鸟还有众多的MM，对“骇客”这个称呼有种发自内心的崇拜感和惧怕感为什么呢在一般人眼里，骇客是无所不能的，可以来无影、去无踪，可以在网络世界里为所欲为。那么，在强大的对手面前，我们真的就束手无策吗我一直固执的这么认为，直到我遇到KFSENSOR什么是KFSENSOR呢用该软件帮助文档里面的一句话说就是KFSENSORISAHONEYPOTBASEDINTRUSIONDETEDTIONSYSTEMIDSKFSENSOR是一款基于入侵检测系统的蜜罐。菜鸟要问了什么是入侵检测IDS呢IDS是一种防御技术，IDS主要通过监控网络和系统状态、行为以及系统资源的使用情况，来检测内部帐户的越权使用和外部的入侵企图。想想吧，有了入侵检测，你就可以完全的监控你的网络。基于主机的IDS可以凭靠各种日志获取骇客的蛛丝马迹，基于网络的IDS更可以对出入网络的每一个数据包进行捕获、分析。菜鸟又要问了蜜罐HONEYPOT听名字比较诱人啊，好像比较好吃蜜罐是一种专门为“诱拐”骇客设计的运行在网络上的系统。一般来说，蜜罐是一套包含有漏洞的系统或者模拟有漏洞系统的程序。比如我们可以找一台电脑，装上没有任何补丁的WINDOWS2000SERVER，放一套千疮百孔的ASP程序，当然要没有重要数据的了。请相信，这样的机器放到网上是很受人“欢迎”的。然后呢你就可以通过一些预先设置的程序捕获骇客的一举一动。比如你可以设置一个登陆脚本，捕获入侵者的用户名、密码、IP地址，可以装一个键盘记录软件记录骇客的每一次击键，可以是不是有些兴奋了HONEYPOT实际上是IDS的一个分支，一个非常有发展前途的分支。KFSENSOR是一款基于IDS的HONEYPOT，所以它自然兼有IDS和HONEYPOT的特点，我们以KFSENSOR214为例进行学习。软件你可以在WWWKFSENSORCOM下载得到，不过下载的时候要注册才显示下载地址，界面也是英文，比较繁琐。你也可以在我的小站WWWXIJINGORG通过下载得到它的最新版本广告_。因为这是一款商业软件，我们下载的体验版只能免费使用14天不过对我们学习来说这也足够了。软件安装不说了，相信每个看这份杂志的都明白，否则只能说明你不适合做这份“看上去拥有很高技术含量却简单易行的还可以让众多MM崇拜你的工作”。_重启之后会有一个配置向导，基本上是一路回车的，当然如果你如果有疑问可以随时点击帮助获得技术支持。配置好之后让我们先来目睹一下KFSENSOR的“芳容”（图1）见到这个界面的时候，是不是感觉很清爽所以千万要摒弃“功能强大就一定配置繁琐”的想法。看看菜单栏，只有FILE、VIEW、SCENARIO、SETTINGS和HELP几项。说实话，光看菜单真的有点感觉KFSENSOR不中用。关于FILE，我实在不想多说，无非是导数据、开关软件，即使比我还菜的也能看明白。只有一点需要注意，就是你可以选择把该软件作为系统服务来启动INSTALLASSYSTEMSERVICE。VIEW栏，主要是设置显示的方式，比如设置是否显示某项监控内容、按照时间显示事件等。有一项比较有特色，就是按照PORTS显示或者按照VISITORS显示。如果你选择前者，你会看到图1样子的界面，把所有的事件按照属于TCP协议或者UDP协议来分类。如果你选择按照VISITORS显示，那么就是图2的样子所有的事件都按照VISITOR的IP分类了。这样可以精确的查询来自某个主机的威胁。保证每次入侵机器进行的尝试操作都会记录下来。图2中显示的就是来自IP地址是19216810168主机名是JOHNATHAN的主机对服务器扫描时的情况。KFSENSOR还会按照事件的严重程度进行分类LOW、MEDIUM和HIGH，分别代表低度威胁、中度威胁和高度威胁，并且分别用颜色是灰色、黄绿色、红色的报警喇叭标注，很直观。菜单栏第三项是SCENARIO非常遗憾，我用金山词霸查到的意思居然是“场景、布景、场面”之类的，那就干脆还是用英文好了。下面一共有六项，分别是转换SCENARIO、编辑SCENARIO、编辑激活SCENARIOS、编辑激活规则、编辑激活PROXY规则和编辑简单服务。在EDITSCENARIOS中，你可以修改SCENARIOS的名称、IP地址以及更多的设置。图3看到了双击“IIS”，我们可以把IIS的80端口的LISTEN状态改成FALSE或者TRUE，相当方便。当然我们也可以选择“CHANGEALL”来改变所有可以改变的项目图4可以选择绑定的地址，之后点击后面的“CHANGE”，也可以一次设置端口监听模式是否时ACTIVE、可以设置这个事件的严重级别。当然你也可以添加一个监听的端口图5这样我们就添加了针对冰河的7626端口。EDITACTIVESCENARIO、EDITACTIVERULES和EDITACTIVEPROXYRULES和上面的过程差不多，我就不多说了，要不有“进行半重复性写作，浪费读者事件并骗取老编稿费”的嫌疑了。在EDITSIMSERVERS里面，我们可以看到设置服务的名称、类型、端口和描述。图6我们看一下最熟悉的IIS图7可以设置的项目很多，设置也简单，但是功能却绝对强大。你甚至可以在这里面设置IIS的路径、定义IIS首页文件名再看一下LINUX的SENDMAIL图8怎么样，功能绝对强大吧想想，如果你把图8里面的BANNER修改成“QMAIL”，那么骇客会不会感到极度郁闷_在SETTINGS里面，我们可以设置一些关于KFSENSOR的东西。比如拒绝服务攻击（图9）、EMAIL报警等等。无非添写几个数字、设置一下级别、添写一下地址。KFSENSOR让人充分体验到了“强大易用”的理念。如果你的检测要求比较高，你甚至可以设置它把日志写