利用Trap Server诱拐黑客

核心提示： 我们实地测试一下效果，打开浏览器输入你服务器的IP访问你用Trap Server模拟的WEB服务，利用Trap Server诱拐黑客(3)，在出现内容的同时，我们也发现在Trap Server主界面的左下部分闪动了，没有经过路由器，所以看到的只能这样子，增加了几行记录！分离一些重复的就是：

我们实地测试一下效果，打开浏览器输入你服务器的IP访问你用Trap Server模拟的WEB服务，在出现内容的同时，我们也发现在Trap Server主界面的左下部分闪动了，增加了几行记录！分离一些重复的就是：

------------------------------------------------------------------------------------

<2004-11-23> <22:12:48> Listening for HTTP connections on 0.0.0.0:80.

User logged in

<2004-11-23> <22:13:03> Command GET / received from 192.168.1.9:2943

Serving file C:Program Files虚拟服务器软件Webiisindex.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2943

User logged out

------------------------------------------------------------------------------------

我们看到第一行是说在某天某时，Trap Server开始侦听服务器的80端口。

接下来有行为发生，比如某个帐号登录服务器，发送了一个命令，行为是GET，后面是该帐号的IP地址和使用的端口，再下面的一行就是这个命令获取的文件，是iis目录下面的index.htm文件，发送了4628个字节给来自这个地址的GET请求。完成之后用户退出。

当然一般的我们去GET一个页面的时候，可能包含大量的图片，那么就会有很多这样子的记录，需要慢慢的提取了。

如果我们telnet到服务器的80端口会有什么情况呢？执行：telnet 192.168.1.9 80，然后get后回车，我在日志里面得到如下的内容：

------------------------------------------------------------------------------------

User logged in

User logged out

为什么会这样子呢？因为我们只是telnet到服务器，没有获取任何文件的动作，如果执行下列的命令：telnet 192.168.1.9 80，然后“摸黑”输入“get index.htm”，则会有下列的日志：

------------------------------------------------------------------------------------

User logged in

<2004-11-23> <22:22:15> Command GET / received from 192.168.1.9:2966

Serving file C:Program Files虚拟服务器软件Webiisindex.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2966

User logged out

------------------------------------------------------------------------------------

看到了？我们输入了获取index.htm文件，就多了一些内容了……不难看懂吧？呵呵

在跟踪入侵者这里，上面的一行是自动变化的，下面的是跟踪对象。下面的“最大值”这里，是设置跟踪路由的跃点的，比如设置成30就可以跟踪30个路由。

图2

如果你点了“跟踪”，那么你就会在右下角这里看到下列情况：

图3

会跟踪IP经过的路由，因为我这里是在本机做测试，没有经过路由器，所以看到的只能这样子，有外网IP的朋友可以测试下效果。