Trap

Server是一款蜜罐軟件， 什么是蜜罐呢？蜜罐實際上是入侵檢測的一種， 別說你對入侵檢測也一無所知， 光看字面意思也差不多了：如果你被入侵， 有一款軟件可以檢測出來， 這個軟件就叫做入侵檢測軟件(英文縮寫為IDS)。 蜜罐可以偽裝成一些常用的或者不常用的服務， 比如WEB、FTP等， 把一些黑客誘拐過來。 關于Trap這個單詞， 小弟不才， 在金山詞霸網站的簡明英漢詞典查詢的意思是：“n.圈套,

陷阱, 詭計, 活板門, 存水彎, 汽水閘, (雙輪)輕便馬車；vi.設圈套, 設陷阱；vt.誘捕, 誘騙, 計捉, 設陷, 坑害,

使受限制”， 明白了吧？這個軟件分明就是一款軟件陷阱！不要我說這款軟件針對的對象了吧？！

蝴蝶：我一直這么看待蜜罐的：我是獵人， 我要獵一只笨熊， 但是難道要我自己去找到笨熊然后和它單挑？當然我想任何一個智商沒有問題的人是不會這么做的。 我必然是做好誘餌， 然后端著獵槍靜靜的守在一旁。 那么我們這個“誘餌”， 就是“蜜罐”——你沒有從書上看到說笨熊喜歡吃蜂巢？就是我一直認為的蜜罐啦！

 　 軟件可以從漢化者的主頁http://kxtm01.126.com下載， 順便說一下漢化者雖然我不認識， 但是看網站的照片是個很帥的小伙……當然水平也很不錯！首先下載Trap

Server， 然后安裝， 我們看到它的主界面（如圖1所示）。

黑客"

style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid"

src="/news/UploadFiles_9994/200511/20051102024109960.gif" align=no>

 圖1

由于拿到的是漢化版， 不用我費功夫拿著金山詞霸翻譯給大家了， “文件”和“編輯”菜單壓根沒有說的必要， “選項”里面只有一個“開機自動運行”有調整的必要。 在“服務器類別”里則有三個選項， 分別是啟動IIS服務器、啟動Apache服務器、啟動EasyPHP服務器， 就是說這款軟件可以模擬上述三種服務器。 “幫助”菜單估計我想說都沒的說……

 　 在主界面， 我們可以看到有“開始監聽”、“停止監聽”的按鈕， 這個就是“電源?開”和“電源?關”了， 下面有是否自動保存日志的選項， 監聽的端口因為Trap 網管聯盟www.bitsCN.com

Server模擬的IIS、Apache和EasyPHP都是WEB服務器， 所以都是80端口， 主頁路徑默認的是安裝Trap

Server目錄下面的WEB文件夾， 如果選擇模擬IIS服務器就是在IIS子文件夾下面， 其它的也一樣， 當然你可以自己另外設定別的目錄。 它主頁的路徑不能修改， 你可以把你自己做的主頁放到文件夾里面， 這樣子這款蜜罐就可以做為WEB服務器用了。 我試了一下效果還不錯， 不過要注意如果你裝了IIS或者別的占用端口80服務器， 要先停掉， 否則就沖突了。

蝴蝶：它默認監聽的是80端口， 不過你也可以自己修改， 比如你只是想做測試用， 你的計算機裝了IIS， 占用了80， 那么你完全可以選擇一個沒有被占用的端口， 比如7626之類的（什么？你的計算機這個端口也被占用了？！）。

 　 我們實地測試一下效果， 打開瀏覽器輸入你服務器的IP， 訪問你用Trap Server模擬的WEB服務， 在出現內容的同時， 我們也發現在Trap

Server主界面的左下閃動了一下， 增加了幾行記錄！分離一些重復的， 剩下的記錄是這樣的：

---------------------------------------------------------------------

 Listening for HTTP connections on 0.0.0.0:80.

User logged

in

  Command GET / received from

192.168.1.9:2943

Serving file C:\Program Files\虛擬服務器軟件\Web\iis\index.htm (4628 bytes / 4628

bytes sent) to 192.168.1.9:2943

User logged

out

---------------------------------------------------------------------

我們看到第一行是說在某天某時， Trap Server開始偵聽服務器的80端口。 接下來有行為發生， 比如有帳號登錄服務器， 發送了一個命令， 行為是GET， 后面是該帳號的IP地址和使用的端口， 再下面的一行就是這個命令獲取的文件， 是IIS目錄下面的Index.htm文件， 發送了4628個字節給來自這個地址的GET請求， 完成之后用戶退出。 54com.cn

蝴蝶：普通情況下， 當我們去GET一個頁面的時候， 可能包含大量的圖片， 那么就會有很多這樣子的記錄， 需要慢慢的提取有用的信息。

 　 很多朋友都習慣使用手工的方法去判斷系統版本， 最常用的就是直接Telnet它的80端口， 如果我們Telnet到服務器的80端口會有什么情況呢？執行：Telnet

192.168.1.9

80， 然后GET并回車， 我在日志里面得到如下的內容：

---------------------------------------------------------------------

User

logged in

User logged out

為什么會這樣子呢？因為我們只是Telnet到服務器， 沒有獲取任何文件的動作。 如果執行下列的命令：Telnet 192.168.1.9

80， 然后“摸黑”輸入“get

index.htm”， 則會有下列的日志：

---------------------------------------------------------------------

User

logged in

  Command GET / received from

192.168.1.9:2966

Serving file C:\Program Files\虛擬服務器軟件\Web\iis\index.htm (4628 bytes / 4628 網管網bitsCN.com

bytes sent) to 192.168.1.9:2966

User logged

out

---------------------------------------------------------------------

看到了嗎？我們輸入了獲取Index.htm文件的命令， 程序里就多了一些內容了……不難看懂吧？呵呵。

在跟蹤入侵者這里， 上面的一行是自動變化的， 下面的是跟蹤對象。 下面的“最大值”是設置跟蹤路由的躍點， 比如設置成30就可以跟蹤30個路由（如圖2所示）。

黑客"

style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid"

src="/news/UploadFiles_9994/200511/20051102024109201.gif" align=no>

圖2

如果你點了“跟蹤”， 那么你就會在右下角這里看到下列情況（如圖3所示）：

黑客"

style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid"

src="/news/UploadFiles_9994/200511/20051102024109175.gif"

align=no>

中國網管聯盟www_bitscn_com

圖3

軟件會跟蹤IP經過的路由， 因為我這里是在本機做測試， 沒有經過路由器， 所以看到的只能是這樣子， 有外網IP的朋友可以測試下效果。

 　 在實際應用方面， Trap

Server正是現在非常流行的SQL注入攻擊的天敵， 能詳細的記錄各類手工的、利用工具實現的攻擊方法， 并完整的重顯當時的入侵過程， 這下網管朋友們知道如何跟蹤這樣的攻擊了吧？！

 　 好了， 就幾個按鈕的軟件我羅羅嗦嗦地說了這么多， 蝴蝶MM肯定又在懷疑我騙稿費了， 我閃！有任何問題可以去《黑客防線》的論壇討論！