Trap Server诱骗黑客

nsiz

蝶：最近网络上的攻击事件非常多，各大游戏网站更是攻击的重点，比如金山前段时间不断爆发的被攻击、入侵事件就是其中之一，或许现在的“黑客”都变成了游戏狂人？虽然“黑客”们很嚣张，但最终恶意的攻击者终究会被抓住，
适合读者：网管、入侵爱好者

前置知识：无

蝴蝶：最近网络上的攻击事件非常多，各大游戏网站更是攻击的重点，比如金山前段时间不断爆发的被攻击、入侵事件就是其中之一，或许现在的“黑客”都变成了游戏狂人？虽然“黑客”们很嚣张，但最终恶意的攻击者终究会被抓住，此所谓天网恢恢、疏而不漏也！各大网管想不想知道如何追终入侵者或者干脆给恶意的入侵者下套呢？这也就是本文阐述的内容了，希望对大家有所帮助！

利用Trap Server诱骗黑客

图文 / 段小娟 & 网路游侠

Trap Server是一款蜜罐软件，什么是蜜罐呢？蜜罐实际上是入侵检测的一种，别说你对入侵检测也一无所知，光看字面意思也差不多了：如果你被入侵，有一款软件可以检测出来，这个软件就叫做入侵检测软件(英文缩写为IDS)。蜜罐可以伪装成一些常用的或者不常用的服务，比如WEB、FTP等，把一些黑客诱拐过来。关于Trap这个单词，小弟不才，在金山词霸网站的简明英汉词典查询的意思是：“n.圈套, 陷阱, 诡计, 活板门, 存水弯, 汽水闸, (双轮)轻便马车；vi.设圈套, 设陷阱；vt.诱捕, 诱骗, 计捉, 设陷, 坑害, 使受限制”，明白了吧？这个软件分明就是一款软件陷阱！不要我说这款软件针对的对象了吧？！



蝴蝶：我一直这么看待蜜罐的：我是猎人，我要猎一只笨熊，但是难道要我自己去找到笨熊然后和它单挑？当然我想任何一个智商没有问题的人是不会这么做的。我必然是做好诱饵，然后端着猎枪静静的守在一旁。那么我们这个“诱饵”，就是“蜜罐”——你没有从书上看到说笨熊喜欢吃蜂巢？就是我一直认为的蜜罐啦！



软件可以从汉化者的主页http://kxtm01.126.com下载，顺便说一下汉化者虽然我不认识，但是看网站的照片是个很帅的小伙……当然水平也很不错！首先下载Trap Server，然后安装，我们看到它的主界面（如图1所示）。





图1

由于拿到的是汉化版，不用我费功夫拿着金山词霸翻译给大家了，“文件”和“编辑”菜单压根没有说的必要，“选项”里面只有一个“开机自动运行”有调整的必要。在“服务器类别”里则有三个选项，分别是启动IIS服务器、启动Apache服务器、启动EasyPHP服务器，就是说这款软件可以模拟上述三种服务器。“帮助”菜单估计我想说都没的说……

在主界面，我们可以看到有“开始监听”、“停止监听”的按钮，这个就是“电源·开”和“电源·关”了，下面有是否自动保存日志的选项，监听的端口因为Trap Server模拟的IIS、Apache和EasyPHP都是WEB服务器，所以都是80端口，主页路径默认的是安装Trap Server目录下面的WEB文件夹，如果选择模拟IIS服务器就是在IIS子文件夹下面，其它的也一样，当然你可以自己另外设定别的目录。它主页的路径不能修改，你可以把你自己做的主页放到文件夹里面，这样子这款蜜罐就可以做为WEB服务器用了。我试了一下效果还不错，不过要注意如果你装了IIS或者别的占用端口80服务器，要先停掉，否则就冲突了。



蝴蝶：它默认监听的是80端口，不过你也可以自己修改，比如你只是想做测试用，你的计算机装了IIS，占用了80，那么你完全可以选择一个没有被占用的端口，比如7626之类的（什么？你的计算机这个端口也被占用了？！）。



我们实地测试一下效果，打开浏览器输入你服务器的IP，访问你用Trap Server模拟的WEB服务，在出现内容的同时，我们也发现在Trap Server主界面的左下闪动了一下，增加了几行记录！分离一些重复的，剩下的记录是这样的：

------------------------------------------------------------------------------------

<2004-11-23> <22:12:48> Listening for HTTP connections on 0.0.0.0:80.

User logged in

<2004-11-23> <22:13:03> Command GET / received from 192.168.1.9:2943

Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2943

User logged out

------------------------------------------------------------------------------------

我们看到第一行是说在某天某时，Trap Server开始侦听服务器的80端口。接下来有行为发生，比如有帐号登录服务器，发送了一个命令，行为是GET，后面是该帐号的IP地址和使用的端口，再下面的一行就是这个命令获取的文件，是IIS目录下面的Index.htm文件，发送了4628个字节给来自这个地址的GET请求，完成之后用户退出。



蝴蝶：普通情况下，当我们去GET一个页面的时候，可能包含大量的图片，那么就会有很多这样子的记录，需要慢慢的提取有用的信息。



很多朋友都习惯使用手工的方法去判断系统版本，最常用的就是直接Telnet它的80端口，如果我们Telnet到服务器的80端口会有什么情况呢？执行：Telnet 192.168.1.9 80，然后GET并回车，我在日志里面得到如下的内容：

------------------------------------------------------------------------------------

User logged in

User logged out

为什么会这样子呢？因为我们只是Telnet到服务器，没有获取任何文件的动作。如果执行下列的命令：Telnet 192.168.1.9 80，然后“摸黑”输入“get index.htm”，则会有下列的日志：

------------------------------------------------------------------------------------

User logged in

<2004-11-23> <22:22:15> Command GET / received from 192.168.1.9:2966

Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2966

User logged out

------------------------------------------------------------------------------------

看到了吗？我们输入了获取Index.htm文件的命令，程序里就多了一些内容了……不难看懂吧？呵呵。

在跟踪入侵者这里，上面的一行是自动变化的，下面的是跟踪对象。下面的“最大值”是设置跟踪路由的跃点，比如设置成30就可以跟踪30个路由（如图2所示）。





图2

如果你点了“跟踪”，那么你就会在右下角这里看到下列情况（如图3所示）：





图3

软件会跟踪IP经过的路由，因为我这里是在本机做测试，没有经过路由器，所以看到的只能是这样子，有外网IP的朋友可以测试下效果。

在实际应用方面，Trap Server正是现在非常流行的SQL注入攻击的天敌，能详细的记录各类手工的、利用工具实现的攻击方法，并完整的重显当时的入侵过程，这下网管朋友们知道如何跟踪这样的攻击了吧？！

ljiunqq

已经看过了,看懂的部分很少