Trap

Server是一款蜜罐軟件， 什么是蜜罐呢？蜜罐實際上是入侵檢測的一種， 別說你對入侵檢測也一無所知， 光看字面意思也差不多了：如果你被入侵， 有一款軟件可以檢測出來， 這個軟件就叫做入侵檢測軟件(英文縮寫為IDS)。 蜜罐可以偽裝成一些常用的或者不常用的服務， 比如WEB、FTP等， 把一些黑客誘拐過來。 關于Trap這個單詞， 小弟不才， 在金山詞霸網站的簡明英漢詞典查詢的意思是：“n.圈套,

陷阱, 詭計, 活板門, 存水彎, 汽水閘, (雙輪)輕便馬車；vi.設圈套, 設陷阱；vt.誘捕, 誘騙, 計捉, 設陷, 坑害,

使受限制”， 明白了吧？這個軟件分明就是一款軟件陷阱！不要我說這款軟件針對的對象了吧？！

 ��

蝴蝶：我一直這么看待蜜罐的：我是獵人， 我要獵一只笨熊， 但是難道要我自己去找到笨熊然后和它單挑？當然我想任何一個智商沒有問題的人是不會這么做的。 我必然是做好誘餌， 然后端著獵槍靜靜的守在一旁。 那么我們這個“誘餌”， 就是“蜜罐”——你沒有從書上看到說笨熊喜歡吃蜂巢？就是我一直認為的蜜罐啦！

 �� 軟件可以從漢化者的主頁http://kxtm01.126.com下載， 順便說一下漢化者雖然我不認識， 但是看網站的照片是個很帥的小伙……當然水平也很不錯！首先下載Trap

Server， 然后安裝， 我們看到它的主界面（如圖1所示）。

黑客"

style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid"

src="/news/UploadFiles_9994/200511/20051102024109960.gif" align=no>

 圖1

 ��

 ��

由于拿到的是漢化版， 不用我費功夫拿著金山詞霸翻譯給大家了， “文件”和“編輯”菜單壓根沒有說的必要， “選項”里面只有一個“開機自動運行”有調整的必要。 在“服務器類別”里則有三個選項， 分別是啟動IIS服務器、啟動Apache服務器、啟動EasyPHP服務器， 就是說這款軟件可以模擬上述三種服務器。 “幫助”菜單估計我想說都沒的說……

 �� 在主界面， 我們可以看到有“開始監聽”、“停止監聽”的按鈕， 這個就是“電源?開”和“電源?關”了， 下面有是否自動保存日志的選項， 監聽的端口因為Trap 網管聯盟www.bitsCN.com

Server模擬的IIS、Apache和EasyPHP都是WEB服務器， 所以都是80端口， 主頁路徑默認的是安裝Trap

Server目錄下面的WEB文件夾， 如果選擇模擬IIS服務器就是在IIS子文件夾下面， 其它的也一樣， 當然你可以自己另外設定別的目錄。 它主頁的路徑不能修改， 你可以把你自己做的主頁放到文件夾里面， 這樣子這款蜜罐就可以做為WEB服務器用了。 我試了一下效果還不錯， 不過要注意如果你裝了IIS或者別的占用端口80服務器， 要先停掉， 否則就沖突了。

 ��

蝴蝶：它默認監聽的是80端口， 不過你也可以自己修改， 比如你只是想做測試用， 你的計算機裝了IIS， 占用了80， 那么你完全可以選擇一個沒有被占用的端口， 比如7626之類的（什么？你的計算機這個端口也被占用了？！）。

 �� 我們實地測試一下效果， 打開瀏覽器輸入你服務器的IP， 訪問你用Trap Server模擬的WEB服務， 在出現內容的同時， 我們也發現在Trap

Server主界面的左下閃動了一下， 增加了幾行記錄！分離一些重復的， 剩下的記錄是這樣的：

---------------------------------------------------------------------

 Listening for HTTP connections on 0.0.0.0:80.

User logged

in

  Command GET / received from

192.168.1.9:2943

Serving file C:\Program Files\虛擬服務器軟件\Web\iis\index.htm (4628 bytes / 4628

bytes sent) to 192.168.1.9:2943

User logged

out

---------------------------------------------------------------------

 ��

我們看到第一行是說在某天某時， Trap Server開始偵聽服務器的80端口。 接下來有行為發生， 比如有帳號登錄服務器， 發送了一個命令， 行為是GET， 后面是該帳號的IP地址和使用的端口， 再下面的一行就是這個命令獲取的文件， 是IIS目錄下面的Index.htm文件， 發送了4628個字節給來自這個地址的GET請求， 完成之后用戶退出。 54com.cn

 ��

蝴蝶：普通情況下， 當我們去GET一個頁面的時候， 可能包含大量的圖片， 那么就會有很多這樣子的記錄， 需要慢慢的提取有用的信息。

 �� 很多朋友都習慣使用手工的方法去判斷系統版本， 最常用的就是直接Telnet它的80端口， 如果我們Telnet到服務器的80端口會有什么情況呢？執行：Telnet

192.168.1.9

80， 然后GET并回車， 我在日志里面得到如下的內容：

---------------------------------------------------------------------

User

logged in

User logged out

為什么會這樣子呢？因為我們只是Telnet到服務器， 沒有獲取任何文件的動作。 如果執行下列的命令：Telnet 192.168.1.9

80， 然后“摸黑”輸入“get

index.htm”， 則會有下列的日志：

---------------------------------------------------------------------

User

logged in

  Command GET / received from

192.168.1.9:2966

Serving file C:\Program Files\虛擬服務器軟件\Web\iis\index.htm (4628 bytes / 4628 網管網bitsCN.com

bytes sent) to 192.168.1.9:2966

User logged

out

---------------------------------------------------------------------

 ��

看到了嗎？我們輸入了獲取Index.htm文件的命令， 程序里就多了一些內容了……不難看懂吧？呵呵。

在跟蹤入侵者這里， 上面的一行是自動變化的， 下面的是跟蹤對象。 下面的“最大值”是設置跟蹤路由的躍點， 比如設置成30就可以跟蹤30個路由（如圖2所示）。

黑客"

style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid"

src="/news/UploadFiles_9994/200511/20051102024109201.gif" align=no>

圖2

如果你點了“跟蹤”， 那么你就會在右下角這里看到下列情況（如圖3所示）：

黑客"

style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid"

src="/news/UploadFiles_9994/200511/20051102024109175.gif"

align=no>

中國網管聯盟www_bitscn_com

圖3

 ��

軟件會跟蹤IP經過的路由， 因為我這里是在本機做測試， 沒有經過路由器， 所以看到的只能是這樣子， 有外網IP的朋友可以測試下效果。

 �� 在實際應用方面， Trap

Server正是現在非常流行的SQL注入攻擊的天敵， 能詳細的記錄各類手工的、利用工具實現的攻擊方法， 并完整的重顯當時的入侵過程， 這下網管朋友們知道如何跟蹤這樣的攻擊了吧？！

 �� 好了， 就幾個按鈕的軟件我羅羅嗦嗦地說了這么多， 蝴蝶MM肯定又在懷疑我騙稿費了， 我閃！有任何問題可以去《黑客防線》的論壇討論！