注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网路游侠

www.youxia.org

 
 
 

日志

 
 

利用trap server诱拐黑客  

2006-01-08 15:06:10|  分类: 02 游侠·原创 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
大家都知道“蜜罐”这个东东吧?——什么?天天看《黑客防线》居然不知道蜜罐?晕,那就再和各位刚认识黑防的朋友谈一下蜜罐。

我们知道如果我们要去黑别人,我们是要进行一些行为的,比如:telnet到服务器的80端口确认服务器是IIS?Apache?或者别的WEB Server,但是你有没有想到,当这一切都被对方的服务器记录下来,包括你探测的时间、IP地址、行为……怎么办?

下面要介绍的就是这样一款软件——Trap Server。这是一款蜜罐软件,什么是蜜罐呢?蜜罐实际上是入侵检测的一种,别说你对入侵检测也一无所知啊,光看字面意思也差不多了,如果你被入侵,有这么一款软件可以检测出来,这个软件就叫做入侵检测(英文缩写为IDS)。蜜罐的作用也差不多,不过更加主动,它可以伪装一些常用的或者不常用的服务,比如WEB、FTP服务,大家也知道Microsoft的IIS漏洞是比较多的,如果伪装成一个IIS服务器,是不是会把一些黑客诱拐过来?我一直这么看待蜜罐的:我是猎人,我要猎一直笨熊,但是难道要我自己去找到笨熊然后和它单挑?当然我想任何一个智商没有问题的人是不会这么做的。我必然是做好诱饵,然后端着猎枪静静的守在一旁。那么我们这个“诱饵”,就是“蜜罐”——你没有从书上看到说笨熊喜欢吃蜂巢?就是我一直认为的蜜罐啦!

嗯,废话不多说了,明白大体的意思就可以,因为你看了下面的操作之后就会对蜜罐这个事物有个比较深刻的印象,其实比我在这里唠唠叨叨好的多。

软件可以从汉化者的主页http://kxtm01.126.com下载,顺便说一下汉化者虽然我不认识,但是看网站的照片是个很帅的小伙……当然水平也很不错!

再唠叨一下:Trap Server,关于Trap这个单词,小弟不才,在金山词霸网站的简明英汉词典查询的意思是:“n.圈套, 陷阱, 诡计, 活板门, 存水弯, 汽水闸, (双轮)轻便马车;vi.设圈套, 设陷阱;vt.诱捕, 诱骗, 计捉, 设陷, 坑害, 使受限制”,明白了吧?这个软件分明就是一款软件陷阱!不要我说这款软件针对的对象了吧?!

首先——下载Trap Server,然后安装(岂不是废话?!)

然后我们看到主界面:

1136703945062_2556.jpg

由于拿到的是汉化版,不用我费功夫拿着金山词霸翻译给大家了,“文件”和“编辑”菜单压根没有我说的必要,“选项”里面只有一个“开机自动运行”有调整的必要,在“服务器类别”里面则有三个选项,分别是:启动IIS服务器、启动Apache服务器、启动EasyPHP服务器。就是说这款软件可以模拟上述三种服务器。“帮助”菜单估计我想说都没的说……

在主界面,我们可以看到有“开始监听”、“停止监听”。这个就是“电源·开”和“电源·关”了,下面有是否自动保存日志的选项,监听的端口因为Trap Server模拟的IIS、Apache和EasyPHP都是WEB服务器(注:这个EasyPHP是一款集成了Apache+PHP+MySQL+PhpMyAdmin的软件),所以都是80端口,不过你也可以自己修改端口,比如你只是想做测试用,你的计算机装了IIS,占用了80端口,那么你完全可以选择一个没有被占用的端口,比如7626啦之类的(什么?你的计算机这个端口也被占用了?!)主页路径默认的是安装Trap Server目录下面的WEB文件夹,如果选择模拟IIS服务器就是在IIS子文件夹下面,其它的也一样,当然你可以自己另外设定别的目录。

当然这个主页的路径不能修改,你可以把你自己做的主页放到文件夹里面,这样子这款蜜罐就可以做为WEB服务器用了,我试了一下效果还不错。不过要注意如果你装了IIS或者别的占用端口80服务器,要先停掉,否则就冲突了。

我们实地测试一下效果,打开浏览器输入你服务器的IP访问你用Trap Server模拟的WEB服务,在出现内容的同时,我们也发现在Trap Server主界面的左下部分闪动了,增加了几行记录!分离一些重复的就是:

------------------------------------------------------------------------------------

<2004-11-23> <22:12:48> Listening for HTTP connections on 0.0.0.0:80.

User logged in

<2004-11-23> <22:13:03> Command GET / received from 192.168.1.9:2943

Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2943

User logged out

------------------------------------------------------------------------------------

我们看到第一行是说在某天某时,Trap Server开始侦听服务器的80端口。

接下来有行为发生,比如某个帐号登录服务器,发送了一个命令,行为是GET,后面是该帐号的IP地址和使用的端口,再下面的一行就是这个命令获取的文件,是iis目录下面的index.htm文件,发送了4628个字节给来自这个地址的GET请求。完成之后用户退出。

当然一般的我们去GET一个页面的时候,可能包含大量的图片,那么就会有很多这样子的记录,需要慢慢的提取了。

如果我们telnet到服务器的80端口会有什么情况呢?执行:telnet 192.168.1.9 80,然后get后回车,我在日志里面得到如下的内容:

------------------------------------------------------------------------------------

User logged in

User logged out

为什么会这样子呢?因为我们只是telnet到服务器,没有获取任何文件的动作,如果执行下列的命令:telnet 192.168.1.9 80,然后“摸黑”输入“get index.htm”,则会有下列的日志:

------------------------------------------------------------------------------------

User logged in

<2004-11-23> <22:22:15> Command GET / received from 192.168.1.9:2966

Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2966

User logged out

------------------------------------------------------------------------------------

看到了?我们输入了获取index.htm文件,就多了一些内容了……不难看懂吧?呵呵

在跟踪入侵者这里,上面的一行是自动变化的,下面的是跟踪对象。下面的“最大值”这里,是设置跟踪路由的跃点的,比如设置成30就可以跟踪30个路由。

1136703955714_1286.jpg

如果你点了“跟踪”,那么你就会在右下角这里看到下列情况:

1136703965631_3151.jpg

会跟踪IP经过的路由,因为我这里是在本机做测试,没有经过路由器,所以看到的只能这样子,有外网IP的朋友可以测试下效果。

好了,就几个按钮的软件我罗罗嗦嗦说了这么多,编辑是不是在怀疑我骗稿费了?我闪啦!有任何问题可以去黑客防线的论坛讨论!

关于上面的文字:
发表于:2005年1月《黑客防线》
版权:1、归发表该文的杂志社;2、归本文作者。
如承蒙转载请注明发表于该期杂志,以及作者姓名,谢谢合作!
作者:张百川 (网名:网路游侠)
  评论这张
 
阅读(67)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017