據(jù)有關(guān)資料顯示， 現(xiàn)在有大量的服務(wù)器仍在使用IIS提供Web服務(wù)， 甚至有爭(zhēng)奪占領(lǐng)Apache市場(chǎng)的趨勢(shì)。 在Web威脅日益嚴(yán)重的今天， 我們當(dāng)然要采用反病毒、防火墻、UTM、NAC等手段來(lái)加強(qiáng)網(wǎng)絡(luò)安全。 但是， 有時(shí)正確地建設(shè)一個(gè)蜜罐也是對(duì)付黑客的必需任務(wù)。

　　什么是蜜罐?簡(jiǎn)言之， 蜜罐就是一個(gè)位于互聯(lián)網(wǎng)上的計(jì)算機(jī)系統(tǒng)， 其特定的目的是為了吸引并“誘捕”試圖滲透進(jìn)入其他人的計(jì)算機(jī)系統(tǒng)的黑客。 要建立一個(gè)真正的蜜罐， 用戶(hù)需要做的事情很多， 但至少要求用戶(hù)做到三條， 一是安裝一個(gè)不打補(bǔ)丁的操作系統(tǒng)， 并且需要使用默認(rèn)配置， 二是要保證系統(tǒng)上沒(méi)有任何數(shù)據(jù)， 三是添加一個(gè)設(shè)計(jì)目的是記載入侵者活動(dòng)的應(yīng)用程序。

　　在IIS中配置蜜罐并不是一件件很復(fù)雜的事情， 但它卻可有助于極大地減少對(duì)IIS服務(wù)器的攻擊。 嚴(yán)格意義上講， 本文所談?wù)摰牟⒎且粋�(gè)真正的蜜罐， 因?yàn)橐粋�(gè)真正的蜜罐是一個(gè)擁有許多漏洞且故意暴露在互聯(lián)網(wǎng)上的主機(jī)， 這里所討論的只不過(guò)是一個(gè)數(shù)據(jù)通信的轉(zhuǎn)向器而已。 使用HTTP主機(jī)的頭信息， 我們完全可以將攻擊者的通信轉(zhuǎn)向一個(gè)并不存在的站點(diǎn)上。

　　黑客們會(huì)使用端口掃描器來(lái)查找那些開(kāi)放著80號(hào)端口的IP地址， 并對(duì)這些端口實(shí)施其攻擊和侵入的企圖。 另外一方面， 網(wǎng)站的終端用戶(hù)會(huì)使用域名來(lái)訪(fǎng)問(wèn)站點(diǎn)， 因此我們的措施并不會(huì)影響這些普通用戶(hù)。 通過(guò)啟用網(wǎng)站上的主機(jī)頭名并將IP企圖重新轉(zhuǎn)向， 我們就可以跟蹤和記錄黑客來(lái)自何方， 同時(shí)又保持了對(duì)終端用戶(hù)的可用性。

　　理論上的事兒先說(shuō)到這里， 下面我們開(kāi)始建立一個(gè)蜜罐。

　　我們需要做的第一件事情就是要在Web服務(wù)器上建立一個(gè)空的目錄。 其名稱(chēng)與位置沒(méi)有什么關(guān)系， 對(duì)于本例而言， 筆者創(chuàng)建了一個(gè)稱(chēng)為Honeypot的目錄， 它位于C：\Inetpub\wwwroot的目錄下。 啟動(dòng)IIS 管理程序， 并為所有的站點(diǎn)分配一個(gè)主機(jī)頭名， 這樣每一臺(tái)虛擬服務(wù)器都有一個(gè)帶有IP地址的主機(jī)頭名。 如下圖1：

　　這里要保證虛擬服務(wù)器不能與無(wú)主機(jī)頭名的80號(hào)端口上的IP地址有映射關(guān)系， 并保證服務(wù)器不能擁有“全部未分配的” IP尋地址。 并保障主機(jī)的頭信息正確設(shè)置， 用戶(hù)仍可以訪(fǎng)問(wèn)所有的站點(diǎn)。 如圖2：

　　然后， 再創(chuàng)建一個(gè)新的網(wǎng)站指向剛才創(chuàng)建的目錄。 這個(gè)蜜罐網(wǎng)站應(yīng)當(dāng)指定所有未分配的IP地址， 并且不能配置主機(jī)的頭信息。 雖然這個(gè)站點(diǎn)的名稱(chēng)叫“honeypot”， 但這并不影響黑客對(duì)它的訪(fǎng)問(wèn)。 進(jìn)入這個(gè)新網(wǎng)站的屬性設(shè)置界面， 選擇“目錄安全”選項(xiàng)卡， 并選中“集成windows身份驗(yàn)證”， 取消選擇其它的認(rèn)證方法， 然后單擊“確定”。 圖3：

　　接著， 選擇網(wǎng)站選項(xiàng)卡， 并單擊“高級(jí)”， 單擊“多網(wǎng)站配置”下的“添加”按鈕， 并添加所有的IP地址。 如果你收到了一個(gè)關(guān)于IP地址沖突的錯(cuò)誤消息， 不要緊， 這表明你沒(méi)有為此網(wǎng)站設(shè)置主機(jī)頭名。 你需要做的是將IP地址從列表中清除， 或?yàn)榇司W(wǎng)站配置一個(gè)主機(jī)頭名。 圖4：

　　保存所有的更改， 然后退出Internet 信息服務(wù)。

　　這樣一來(lái)， 當(dāng)一個(gè)惡意用戶(hù)通過(guò)IP地址來(lái)訪(fǎng)問(wèn)網(wǎng)站時(shí)， 他就會(huì)被發(fā)送至空目錄， 并得到一個(gè)403錯(cuò)誤。 而通過(guò)DNS域名來(lái)訪(fǎng)問(wèn)網(wǎng)站的用戶(hù)由于有了主機(jī)的頭信息， 就能夠訪(fǎng)問(wèn)網(wǎng)站的內(nèi)容。

　　這樣做并不是絕對(duì)的安全， 因?yàn)楹诳蛡內(nèi)詴?huì)試圖通過(guò)域名來(lái)訪(fǎng)問(wèn)網(wǎng)站， 不過(guò)其多數(shù)攻擊都被發(fā)送到了IP地址。 使用主機(jī)的頭信息會(huì)改善Web服務(wù)器的性能， 這是因?yàn)閃WW服務(wù)沒(méi)有必要為使用獨(dú)立IP地址的網(wǎng)站分配非頁(yè)式內(nèi)在池。

　　還有一點(diǎn)， 一些較低版本的瀏覽器(不符合HTTP1.1規(guī)范的瀏覽器)將被直接轉(zhuǎn)向空目錄， 因?yàn)檫@種瀏覽器不接受主機(jī)頭名。 不過(guò)， 現(xiàn)在這種瀏覽器幾乎沒(méi)有人用了吧?