L003007004WEB服务蜜罐部署实验.docx

L003007004WEB服务蜜罐部署实验.docx

《L003007004WEB服务蜜罐部署实验.docx》由会员分享，可在线阅读，更多相关《L003007004WEB服务蜜罐部署实验.docx（10页珍藏版）》请在冰豆网上搜索。

L003007004WEB服务蜜罐部署实验

 课程编写

类别

内容

实验课题名称

WEB服务蜜罐部署实验

实验目的与要求

了解WEB蜜罐的基本原理，掌握TrapServer的使用。

实验环境

VPC1（虚拟PC）

WindowsXP操作系统

VPC1连接要求

与VPC2相连

VPC2（虚拟PC）

WindowsXP操作系统

VPC2连接要求

与VPC1相连

软件描述

VPC1:

TrapServer

VPC2:

IE浏览器

预备知识

攻击者对企业网络的攻击、渗透，往往以获取服务器的控制权，窃取敏感数据为目的。

服务器一旦部署完成就处于内外攻击之中，安全实践证明，打造百分之百安全的服务器只能是梦想。

因此，与其疲于防范，不如改变防御策略主动出击。

搭建蜜罐服务器是个不错的方案，通过它分析获取攻击时间、攻击方式，甚至分析攻击者的心理习惯等，既保护了真正的服务器，同时为我们抓捕攻击者提供了依据。

蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹。

因此，蜜罐的定义是：

蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。

TrapServer是一款WEB服务器蜜罐软件，它可以模拟很多不同的服务器，例如Apache、 HTTPServer、IIS等。

TrapServer蜜罐运行时就会开放一个伪装的WEB服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。

通过这些对黑客的入侵行为进行简单的分析。

实验内容

使用TrapServer部署一个WEB蜜罐

实验步骤

1、学生单击“网络拓扑”进入实验场景，单击L003007004xp01_1（简称pc1）及L003007004xp02_1（简称pc2）的“打开控制台”按钮，进入两个目标xp主机（注：

pc2作为测试机使用）

2、分别都使用默认账号administrator，密码123456，进入目标主机桌面。

3、在pc1中安装TrapServer，默认安装即可（安装包在d:

\tools\中），出现下图所示界面即安装成功。

4、运行TrapServer虚拟服务器

启动TrapServer（默认安装路径为C:

\ProgramFiles\虚拟服务器软件）

服务器类别：

分别是“启动IIS服务器”、“启动Apache服务器”和“启动EasyPHP服务器”

软件可以模拟上述三种服务器，默认监听的都是80端口。

主页路径默认的是安装TrapServer目录下面的WEB文件夹，可以自己另外设置别的目录，但主页的路径不能修改，可以把自己做的主页放到文件夹里面，这样这款蜜罐就可以做为WEB服务器用了。

软件默认监听的80端口，也可以修改，比如系统安装了IIS，占用了80，那么完全可以选择一个没有被占用的端口，比如8080之类的。

本实验中将端口设置为8080（在监听端口编辑框内修改）选择要模拟的服务器类型后（示例中为IIS，如下图所示），在主界面点击“开始监听”按钮，点击“解除阻止”，即可启动蜜罐服务。

5、进入pc1的dos界面，输入“ipconfig”查看pc1的IP地址为192.168.1.100。

进入pc2的dos界面，输入“ipconfig”查看pc2的IP地址为192.168.1.132。

6、打开pc2虚拟控制台，打开IE浏览器。

在浏览器中输入http:

//192.168.1.100:

8080，出现如下界面：

7、回到PC1中就可以监视到PC2的操作，如下图所示，192.168.1.132即为PC2的IP地址，在遭受攻击时，如果不知道攻击者的真实IP地址，可以点击“跟踪”按钮，软件会跟踪IP经过的路由，揪出攻击者的IP地址。

8、测试TrapServer虚拟服务器

在PC2中打开命令行窗口，输入telnet 192.168.1.1008080，连接到实验台8080端口。

9、在新打开的窗口中输入getindex.htm后，敲两下ENTER键。

通过返回的信息就知道服务器的版本了，如下图所示。

在PC1中可以在TrapServer中看到相应的记录，如下图所示。

10、至此实验结束，关闭虚拟机。