打造蜜罐服务器 误导攻击者

　　4、记录与跟踪

　　在实际应用方面，Trap Server正是当下非常流行的SQL注入的天敌，能详细地记录各种手工的和利用工具实现的方法，并完整地再现当时的入侵过程。

　　另外，在遭受攻击时，如果不知道攻击者的真实IP地址，可以点击“跟踪”按钮，软件会跟踪IP经过的路由，揪出攻击者的IP地址。(图5)

　　二、部署全方位的蜜罐服务器

　　1、工具：Defnet HoneyPot 2004

　　这是一款著名的“蜜罐”虚拟系统，它会虚拟一台有“缺陷”的服务器，等着恶意攻击者上钩。利用该软件虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。通过它可以看到攻击者都执行了那些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。

　　2、蜜罐服务器部署

　　运行Defnet HoneyPot，在程序主界面右侧，点击“HoneyPot”按钮，弹出设置对话框，在设置对话框中，可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。(图6)

　　例如要虚拟一个FTP Server服务，则可选中相应服务“FTP Server”复选框，并且可以给恶意攻击者“Full Access”权限。并可设置好“Directory”项，用于指定伪装的文件目录项。(图7)