内容摘要:“知己知彼,百战不殆”,安全人员只有在掌握了攻击者的攻击技术、技巧、甚至心理和习惯等,才能更有效地维护互联网安全,蜜罐系统正是获得攻击手段的最好工具之一……
<2008-1-20> <11:06:51> Listening for HTTP connections on 0.0.0.0:80.
User logged in
<2008-1-20> <11:07:23> Command GET /receibed form 192.168.1.6:2025
Serving file C:Program Files虚拟服务器软件Webiisindex.htm(4628 bytes /4628 bytes sent to 192.168.1.6:1943)
User logged out
第一行表示,Trap Server开始侦听服务器的80端口。接下来是有一个账户登录服务器,发送了一个命令,行为是GET,后面是该账户的IP地址和使用的端口。再下面一行就是登录者获取的文件,是IIS下面的index.htm,发送2648个字节给这个地址的GET请求,完成之后用户退出。
其实有黑客攻击经验的用户都知道此记录代表的意思。他表示有攻击者用Telnet连接了我们的蜜罐服务器,并进行了版本探测。很多朋友都系统用手工的方法去探测服务器版本,最常用的就是直接用Telnet去连接服务器的80端口(图10),然后输入get index.htm,通过返回的信息就知道服务器的版本了。
3、Trap Server蜜罐的应用
在实际应用方面,Trap Server正是当下非常流行的SQL注入的天敌,能详细地记录各种手工的和利用工具实现的方法,并完整地再现当时的入侵过程。
另外,在遭受攻击时,如果不知道攻击者的真实IP地址,可以点击“跟踪”按钮,软件会跟踪IP经过的路由,揪出攻击者的IP地址。(图11)
好了,蜜罐准备好了,攻击者来吧,让攻击来得更猛烈些吧!
来源:IT专家网 作者:老五 责编:豆豆技术应用