教您部署蜜罐系统让攻击者自投落网

　2008-01-21 13:11:31　来源：WEB开发网　　　

核心提示： (9:29:12) The IP 192.168.1.6 () tried invasion by telnet (net localgroup administrators asp$ /add)(9:29:36) The IP 192.168.1.6 () tried invasion

(9:29:12) The IP 192.168.1.6 () tried invasion by telnet (net localgroup administrators asp$ /add)

(9:29:36) The IP 192.168.1.6 () tried invasion by telnet (exit)

从信息中，我们可以看到攻击者Telnet到服务器分别用administrator、admin、root空密码进行探视均告失败，然后再次连接用root用户和root密码进入系统。接下来用dir命令查看了目录，创建了一个用户名为asp$，密码为test168的管理员密码。攻击者的所作所为一目了然，我们获得了这些信息后，可以尝试用此用户和密码远程连接攻击者的电脑。因为，很多恶意攻击者，在入侵后创建的用户就是自己的电脑使用的用户和密码，这也是社会工程学的利用吧。

(3)、蜜罐提醒

如果我们不能在电脑前跟踪攻击者的攻击动作时，当想了解攻击者都做了些什么时，可以使用HoneyPot提供的“提醒”功能。在软件主界面点击“Options”按钮，在打开设置窗口中，设置自己的E-mail信箱，其自动将攻击者的动作记录下来，发送到设置的邮箱中。选中“Send logs by e-mail”，在输入框中填写自己的邮箱地址，邮件发送服务器地址，发送者邮箱地址。再选中“Authenticaton required”，填写邮箱的登录名和密码，自己就可以随时掌握攻击者的入侵情况了。

另外还可以选中“Save outomatic logs on in the directory”将入侵日志保存到指定的目录中，方便日后分析(图6)。

教您部署蜜罐系统让攻击者自投落网

二、利用Trap Server诱骗黑客

Trap Server是一款WEB服务器蜜罐软件，它可以模拟很多不同的服务器，例如：Apache HTTP Server、Microsoft IIS等。Trap Server蜜罐运行时就会开放一个伪装的WEB服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析。