您所在的位置： &
利用Trap Server诱拐黑客
利用Trap Server诱拐黑客
我们知道如果我们要去黑别人，我们是要进行一些行为的，但是你有没有想到，当这一切都被对方的服务器记录下来，包括你探测的时间、IP地址、行为……怎么办？本文章介绍了如何利用Trap Server诱拐黑客。
我们知道如果我们要去黑别人，我们是要进行一些行为的，比如：telnet到服务器的80端口确认服务器是IIS？Apache？或者别的WEB Server，但是你有没有想到，当这一切都被对方的服务器记录下来，包括你探测的时间、IP地址、行为……怎么办？
下面要介绍的就是这样一款软件――Trap Server。这是一款蜜罐软件，什么是蜜罐呢？蜜罐实际上是入侵检测的一种，别说你对入侵检测也一无所知啊，光看字面意思也差不多了，如果你被入侵，有这么一款软件可以检测出来，这个软件就叫做入侵检测(英文缩写为IDS)。
蜜罐的作用也差不多，不过更加主动，它可以伪装一些常用的或者不常用的服务，比如WEB、FTP服务，大家也知道Microsoft的IIS漏洞是比较多的，如果伪装成一个IIS服务器，是不是会把一些黑客诱拐过来？
我一直这么看待蜜罐的：我是猎人，我要猎一直笨熊，但是难道要我自己去找到笨熊然后和它单挑？当然我想任何一个智商没有问题的人是不会这么做的。我必然是做好诱饵，然后端着猎枪静静的守在一旁。那么我们这个“诱饵”，就是“蜜罐”――你没有从书上看到说笨熊喜欢吃蜂巢？就是我一直认为的蜜罐啦！
嗯，废话不多说了，明白大体的意思就可以，因为你看了下面的操作之后就会对蜜罐这个事物有个比较深刻的印象，其实比我在这里唠唠叨叨好的多。
软件可以从汉化者的主页下载，顺便说一下汉化者虽然我不认识，但是看网站的照片是个很帅的小伙……当然水平也很不错！
再唠叨一下：Trap Server，关于Trap这个单词，小弟不才，在金山词霸网站的简明英汉词典查询的意思是：“n.圈套, 陷阱, 诡计, 活板门, 存水弯, 汽水闸, (双轮)轻便马车；vi.设圈套, 设陷阱；vt.诱捕, 诱骗, 计捉, 设陷, 坑害, 使受限制”，明白了吧？这个软件分明就是一款软件陷阱！不要我说这款软件针对的对象了吧？！
首先――下载Trap Server，然后安装（岂不是废话？！）
然后我们看到主界面：
由于拿到的是汉化版，不用我费功夫拿着金山词霸翻译给大家了，“文件”和“编辑”菜单压根没有我说的必要，“选项”里面只有一个“开机自动运行”有调整的必要，在“服务器类别”里面则有三个选项，分别是：启动IIS服务器、启动Apache服务器、启动EasyPHP服务器。就是说这款软件可以模拟上述三种服务器。“帮助”菜单估计我想说都没的说……
在主界面，我们可以看到有“开始监听”、“停止监听”。这个就是“电源•开”和“电源•关”了，下面有是否自动保存日志的选项，监听的端口因为Trap Server模拟的IIS、Apache和EasyPHP都是WEB服务器(注：这个EasyPHP是一款集成了Apache＋PHP＋MySQL＋PhpMyAdmin的软件)，所以都是80端口，不过你也可以自己修改端口。
比如你只是想做测试用，你的计算机装了IIS，占用了80端口，那么你完全可以选择一个没有被占用的端口，比如7626啦之类的（什么？你的计算机这个端口也被占用了？！）主页路径默认的是安装Trap Server目录下面的WEB文件夹，如果选择模拟IIS服务器就是在IIS子文件夹下面，其它的也一样，当然你可以自己另外设定别的目录。
当然这个主页的路径不能修改，你可以把你自己做的主页放到文件夹里面，这样子这款蜜罐就可以做为WEB服务器用了，我试了一下效果还不错。不过要注意如果你装了IIS或者别的占用端口80服务器，要先停掉，否则就冲突了。
我们实地测试一下效果，打开浏览器输入你服务器的IP访问你用Trap Server模拟的WEB服务，在出现内容的同时，我们也发现在Trap Server主界面的左下部分闪动了，增加了几行记录！分离一些重复的就是：
------------------------------------------------------------------------------------
&& &22:12:48& Listening for HTTP connections on 0.0.0.0:80.
User logged in
&& &22:13:03& Command GET / received from 192.168.1.9:2943
Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2943
User logged out
------------------------------------------------------------------------------------
我们看到第一行是说在某天某时，Trap Server开始侦听服务器的80端口。
接下来有行为发生，比如某个帐号登录服务器，发送了一个命令，行为是GET，后面是该帐号的IP地址和使用的端口，再下面的一行就是这个命令获取的文件，是iis目录下面的index.htm文件，发送了4628个字节给来自这个地址的GET请求。完成之后用户退出。
当然一般的我们去GET一个页面的时候，可能包含大量的图片，那么就会有很多这样子的记录，需要慢慢的提取了。
如果我们telnet到服务器的80端口会有什么情况呢？执行：telnet 192.168.1.9 80，然后get后回车，我在日志里面得到如下的内容：
------------------------------------------------------------------------------------
User logged in
User logged out
为什么会这样子呢？因为我们只是telnet到服务器，没有获取任何文件的动作，如果执行下列的命令：telnet 192.168.1.9 80，然后“摸黑”输入“get index.htm”，则会有下列的日志：
------------------------------------------------------------------------------------
User logged in
&& &22:22:15& Command GET / received from 192.168.1.9:2966
Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2966
User logged out
------------------------------------------------------------------------------------
看到了？我们输入了获取index.htm文件，就多了一些内容了……不难看懂吧？呵呵
在跟踪入侵者这里，上面的一行是自动变化的，下面的是跟踪对象。下面的“最大值”这里，是设置跟踪路由的跃点的，比如设置成30就可以跟踪30个路由。
如果你点了“跟踪”，那么你就会在右下角这里看到下列情况：
会跟踪IP经过的路由，因为我这里是在本机做测试，没有经过路由器，所以看到的只能这样子，有外网IP的朋友可以测试下效果。
【责任编辑： TEL：（010）】
关于&&&&的更多文章
日消息，巴黎恐怖袭击发生后，国际黑客组织“匿名者
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
讲师： 256人学习过讲师： 32人学习过讲师： 1954人学习过
从14年到现在短短一年的时间，小米、携程、网易、1230
什么样的防火墙才可以真正称为下一代防火墙(NGFW)?面
2015年RSA安全大会以改变( Change: Challenge today's
本书是关于EJB 3.0的专业技术教程，专注于EJB的概念、方法、开发过程的介绍。同时，本书还研究许多高端的EJB知识，使得开发者能
51CTO旗下网站“蜜罐”虚拟系统使用教程(DefnetHoney；一、打造蜜罐，反击攻击者1、软件介绍；“DefnetHoneyPot2004”是一个著；DefnetHoneyPot是一款绿色软件，下载；运行DefnetHoneyPot，在Defnet；例如要虚拟一个FTPServer服务，则可选中相；图2；在“FingerServer”的“Aclvanc；图3；在“Tel
“蜜罐”虚拟系统使用教程(Defnet HoneyPot 2004)
一、打造蜜罐，反击攻击者
1、软件介绍
“Defnet HoneyPot 2004”是一个著名的“蜜罐”虚拟系统，它会虚拟一台有“缺陷”的电脑，等着恶意攻击者上钩。这种通过Defnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱只能套住恶意攻击者，看看他都执行了那 些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。
2、下套诱捕
Defnet HoneyPot是一款绿色软件，下载后直接使用，不用安装，其设置非常简单，迷惑性、仿真性不其它蜜罐强多了。
(1).设置虚拟系统
运行Defnet HoneyPot，在Defnet HoneyPot的程序主界面右侧，点击“HoneyPot”按钮，弹出设置对话框，在设置对话框中，可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。
例如要虚拟一个FTP Server服务，则可选中相应服务“FTP Server”复选框，并且可以给恶意攻击者“Full Access”权限。并可设置好“Directory”项，用于指定伪装的文件目录项。
在“Finger Server”的“Aclvanced”高级设置项中，可以设置多个用户，“admin”用户是伪装成管理员用户的，其提示信息是“administrator”即管理员组用户，并且可以允许40个恶意攻击者同时连接该用户。
在“Telnet Server”的高级设置项中，还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no)，以及目录创建时间和目录名，剩余磁盘空间(Free space in bytes)，MAC地址，网卡类型等。
这样一来，就可以让虚拟出来的系统更加真实了。
(2).幕后监视
蜜罐搭建成功后，点击HoneyPot主程序界面的“Monitore”按钮，开始监视恶意攻击者了。当有人攻击我们的系统时，会进入我们设置的蜜罐。在HoneyPot左面窗口中的内容，就可以清楚地看到，恶意攻击者都在做什么，进行了哪些操作了。
例如，蜜罐中显示信息如下：
(9:20:52) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:21:31) The IP 192.168.1.6 () tried invasion by telnet (USER administrator)
(9:21:53) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:22:21) The IP 192.168.1.6 () tried invasion by telnet (USER admin)
(9:22:42) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:23:08) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:23:29) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
The invasor disconnected from the telnet server
(9:23:58) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:24:22) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:24:44) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD root)
(9:25:08) The IP 192.168.1.6 () tried invasion by telnet (dir)
(9:25:41) The IP 192.168.1.6 () tried invasion by telnet (cd files)
(9:26:20) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:26:49) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:27:38) The IP 192.168.1.6 () tried invasion by telnet (net user asp$ test168 /add)
(9:28:32) The IP 192.168.1.6 () tried invasion by telnet (net u)
(9:29:12) The IP 192.168.1.6 () tried invasion by telnet (net localgroup administrators asp$ /add)
(9:29:36) The IP 192.168.1.6 () tried invasion by telnet (exit)
从信息中，我们可以看到攻击者Telnet到服务器分别用administrator、admin、root空密码进行探视均告失败，然后再次连接用 root用户和root密码进入系统。接下来用dir命令查看了目录，创建了一个用户名为asp$，密码为test168的管理员密码。攻击者的所作所为 一目了然，我们获得了这些信息后，可以尝试用此用户和密码远程连接攻击者的电脑。因为，很多恶意攻击者，在入侵后创建的用户就是自己的电脑使用的用户和密 码，这也是社会工程学的利用吧。
(3).蜜罐提醒
如果我们不能在电脑前跟踪攻击者的攻击动作时，当想了解攻击者都做了些什么时，可以使用HoneyPot提供的“提醒”功能。在软件主界面点击 “Options”按钮，在打开设置窗口中，设置自己的E-mail信箱，其自动将攻击者的动作记录下来，发送到设置的邮箱中。选中“Send logs by e-mail”，在输入框中填写自己的邮箱地址，邮件发送服务器地址，发送者邮箱地址。再选中“Authenticaton required”，填写邮箱的登录名和密码，自己就可以随时掌握攻击者的入侵情况了。
另外还可以选中“Save outomatic logs on in the directory”将入侵日志保存到指定的目录中，方便日后分析。
模拟环境：
虚拟机A IP:192.168.1.10 (蜜罐系统)
虚拟机B IP:192.168.1.6 (攻击主机)
三亿文库包含各类专业文献、专业论文、中学教育、文学作品欣赏、行业资料、生活休闲娱乐、应用写作文书、外语学习资料、51(Defnet+HoneyPot+2004)“蜜罐”虚拟系统教程(Defnet+HoneyPot+2004)等内容。　
　(Defnet+HoneyPot+2004)“蜜罐”虚拟系统教程(Defnet+HoneyPot+2004)_IT/计算机...“蜜罐”虚拟系统使用教程(Defnet HoneyPot 2004) 蜜罐”虚拟系统使用教程(Defnet...蜜罐技术在网络安全中的研究与应用_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
蜜罐技术在网络安全中的研究与应用
&&蜜罐技术在网络安全中的研究与应用
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩1页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢搭建蜜罐来保护web服务器_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
搭建蜜罐来保护web服务器
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩16页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢Trap Server使用教程 教你应对黑客
　　Trap Server。这是一款蜜罐软件，什么是蜜罐呢？蜜罐实际上是入侵检测的一种，别说你对入侵检测也一无所知啊，光看字面意思也差不多了，如果你被入侵，有这么一款软件可以检测出来，这个软件就叫做入侵检测(英文缩写为IDS)。
蜜罐的作用也差不多，不过更加主动，它可以伪装一些常用的或者不常用的服务，比如WEB、FTP服务，大家也知道Microsoft的IIS漏洞是比较多的，如果伪装成一个IIS服务器，是不是会把一些黑客诱拐过来？
我一直这么看待蜜罐的：我是猎人，我要猎一直笨熊，但是难道要我自己去找到笨熊然后和它单挑？当然我想任何一个智商没有问题的人是不会这么做的。我必然是做好诱饵，然后端着猎枪静静的守在一旁。那么我们这个&诱饵&，就是&蜜罐&&&你没有从书上看到说笨熊喜欢吃蜂巢？就是我一直认为的蜜罐啦！
嗯，废话不多说了，明白大体的意思就可以，因为你看了下面的操作之后就会对蜜罐这个事物有个比较深刻的印象，其实比我在这里唠唠叨叨好的多。
软件可以从汉化者的主页下载，顺便说一下汉化者虽然我不认识，但是看网站的照片是个很帅的小伙&&当然水平也很不错！
再唠叨一下：Trap Server，关于Trap这个单词，小弟不才，在金山词霸网站的简明英汉词典查询的意思是：&n.圈套, 陷阱, 诡计, 活板门, 存水弯, 汽水闸, (双轮)轻便马车；vi.设圈套, 设陷阱；vt.诱捕, 诱骗, 计捉, 设陷, 坑害, 使受限制&，明白了吧？这个软件分明就是一款软件陷阱！不要我说这款软件针对的对象了吧？！
首先&&下载Trap Server，然后安装（岂不是废话？！）
然后我们看到主界面：
由于拿到的是汉化版，不用我费功夫拿着金山词霸翻译给大家了，&文件&和&编辑&菜单压根没有我说的必要，&选项&里面只有一个&开机自动运行&有调整的必要，在&服务器类别&里面则有三个选项，分别是：启动IIS服务器、启动Apache服务器、启动EasyPHP服务器。就是说这款软件可以模拟上述三种服务器。&帮助&菜单估计我想说都没的说&&
在主界面，我们可以看到有&开始监听&、&停止监听&。这个就是&电源&开&和&电源&关&了，下面有是否自动保存日志的选项，监听的端口因为Trap Server模拟的IIS、Apache和EasyPHP都是WEB服务器(注：这个EasyPHP是一款集成了Apache＋PHP＋MySQL＋PhpMyAdmin的软件)，所以都是80端口，不过你也可以自己修改端口。
比如你只是想做测试用，你的计算机装了IIS，占用了80端口，那么你完全可以选择一个没有被占用的端口，比如7626啦之类的（什么？你的计算机这个端口也被占用了？！）主页路径默认的是安装Trap Server目录下面的WEB文件夹，如果选择模拟IIS服务器就是在IIS子文件夹下面，其它的也一样，当然你可以自己另外设定别的目录。
当然这个主页的路径不能修改，你可以把你自己做的主页放到文件夹里面，这样子这款蜜罐就可以做为WEB服务器用了，我试了一下效果还不错。不过要注意如果你装了IIS或者别的占用端口80服务器，要先停掉，否则就冲突了。
我们实地测试一下效果，打开浏览器输入你服务器的IP访问你用Trap Server模拟的WEB服务，在出现内容的同时，我们也发现在Trap Server主界面的左下部分闪动了，增加了几行记录！分离一些重复的就是：
------------------------------------------------------------------------------------
&& &22:12:48& Listening for HTTP connections on 0.0.0.0:80.
User logged in
&& &22:13:03& Command GET / received from 192.168.1.9:2943
Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2943
User logged out
------------------------------------------------------------------------------------
我们看到第一行是说在某天某时，Trap Server开始侦听服务器的80端口。
接下来有行为发生，比如某个帐号登录服务器，发送了一个命令，行为是GET，后面是该帐号的IP地址和使用的端口，再下面的一行就是这个命令获取的文件，是iis目录下面的index.htm文件，发送了4628个字节给来自这个地址的GET请求。完成之后用户退出。
当然一般的我们去GET一个页面的时候，可能包含大量的图片，那么就会有很多这样子的记录，需要慢慢的提取了。
如果我们telnet到服务器的80端口会有什么情况呢？执行：telnet 192.168.1.9 80，然后get后回车，我在日志里面得到如下的内容：
------------------------------------------------------------------------------------
User logged in
User logged out
为什么会这样子呢？因为我们只是telnet到服务器，没有获取任何文件的动作，如果执行下列的命令：telnet 192.168.1.9 80，然后&摸黑&输入&get index.htm&，则会有下列的日志：
------------------------------------------------------------------------------------
User logged in
&& &22:22:15& Command GET / received from 192.168.1.9:2966
顶一下(0) 踩一下(0)
热门标签：}