WEB开发网
开发学院网络安全安全技术 打造蜜罐服务器 误导攻击者 阅读

打造蜜罐服务器 误导攻击者

 2008-06-11 13:16:05 来源:WEB开发网   
核心提示: 3、实时监视选择要模拟的服务器类型后,在主界面点击“开始监听”按钮,打造蜜罐服务器 误导攻击者(2),即可启动蜜罐服务,我们在虚拟机B的浏览器中输入192.168.1.10,最常用的就是直接用Telnet去连接服务器的80端口,然后输入get index.htm,在

3、实时监视

选择要模拟的服务器类型后,在主界面点击“开始监听”按钮,即可启动蜜罐服务。我们在虚拟机B的浏览器中输入192.168.1.10,在虚拟机A中就可以监视到虚拟机B的操作。(图2)

打造蜜罐服务器 误导攻击者

假如有攻击者通过浏览器输入自己服务器的IP,访问用Trap Server模拟的WEB服务,在Trap Server主界面里就会自动监听并显示攻击者的访问操作记录。例如,分离一些重复信息后,看到如下的记录(图3)。

打造蜜罐服务器 误导攻击者

<2008-1-20> <11:06:51> Listening for HTTP connections on 0.0.0.0:80.

User logged in

<2008-1-20> <11:07:23> Command GET /receibed form 192.168.1.6:2025

Serving file C:Program Files虚拟服务器软件Webiisindex.htm(4628 bytes /4628 bytes sent to 192.168.1.6:1943)

User logged out

第一行表示,Trap Server开始侦听服务器的80端口。接下来是有一个账户登录服务器,发送了一个命令,行为是GET,后面是该账户的IP地址和使用的端口。再下面一行就是登录者获取的文件,是IIS下面的index.htm,发送2648个字节给这个地址的GET请求,完成之后用户退出。

其实有黑客攻击经验的用户都知道此记录代表的意思。他表示有攻击者用Telnet连接了我们的蜜罐服务器,并进行了版本探测。很多朋友都系统用手工的方法去探测服务器版本,最常用的就是直接用Telnet去连接服务器的80端口,然后输入get index.htm,通过返回的信息就知道服务器的版本了。(图4)

上一页  1 2 3 4 5  下一页

Tags:打造 蜜罐 服务器

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接