入侵检测实验之蜜罐系统 TrapServer是一款WEB服务器蜜罐软件，它可以模拟很多不同的服务器，例如：ApacheHTTPServer、MicrosoftIIS等。TrapServer蜜罐运行时就会开放一个伪装的WEB服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析。1、设置TrapServer下载TrapServer安装并运行，在“服务器类别”菜单下有三个选项。分别是“启动IIS服务”、“启动Apache服务器”和“启动EasyPHP服务器”，软件可以模拟上述三种服务器。 TrapServer模拟的IIS、Apache和EasyPHP都是WEB服务器，所以默认监听的都是80端口。主页路径默认的是安装TrapServer目录下面的WEB文件夹，可以自己另外设置别的目录。但主页的路径不能修改，可以把自己做的主页放到文件夹里面，这样这款蜜罐就可以做为WEB服务器用了。软件默认监听的80端口，也可以修改，比如系统安装了IIS，占用了80，那么完全可以选择一个没有被占用的端口，比如7626之类的。2、TrapServer蜜罐监视选择要模拟的服务器类型后，在主界面点击“开始监听”按钮，即可启动蜜罐服务。我们在虚拟机B的浏览器中输入192.168.1.10，在虚拟机A中就可以监视到虚拟机B的操作。 假如有攻击者通过浏览器输入自己服务器的IP，访问用TrapServer模拟的WEB服务，在TrapServer主界面里就会自动监听并显示攻击者的访问操作记录。例如，分离一些重复信息后，看到如下的记录 <2012/117星期三><12:22:39>ListeningforHTTPconnectionson0.0.0.0:80.Userloggedin<2012/11/7星期三><12:34:59>CommandGET/receibedform192.168.1.171:3270ServingfileG:\stydy\Web\iis\index.htm(4628bytes/4628bytessentto192.168.1.171:3270)Userloggedout 第一行表示，TrapServer开始侦听服务器的80端口。接下来是有一个账户登录服务器，发送了一个命令，行为是GET，后面是该账户的IP地址和使用的端口。再下面一行就是登录者获取的文件，是IIS下面的index.htm，发送2648个字节给这个地址的GET请求，完成之后用户退出。其实有黑客攻击经验的用户都知道此记录代表的意思。他表示有攻击者用Telnet连接了我们的蜜罐服务器，并进行了版本探测。很多朋友都系统用手工的方法去探测服务器版本，最常用的就是直接用Telnet去连接服务器的80端口(图10)，然后输入getindex.htm，通过返回的信息就知道服务器的版本了。 在实际应用方面，TrapServer正是当下非常流行的SQL注入的天敌，能详细地记录各种手工的和利用工具实现的方法，并完整地再现当时的入侵过程。另外，在遭受攻击时，如果不知道攻击者的真实IP地址，可以点击“跟踪”按钮，软件会跟踪IP经过的路由，揪出攻击者的IP地址。