實驗目的
了解WEB蜜罐的基本原理,掌握Trap Server的使用。
實驗原理
Trap Server是一款WEB服務器蜜罐軟件,它可以模擬很多不同的服務器,例如Apache、 HTTP Server、IIS等。TrapServer蜜罐運行時就會開放一個偽裝的WEB服務器,虛擬服務器將對這個服務器的訪問情況進行監視,並把所有對該服務器的訪問記錄下來,包括IP地址,訪問文件等。通過這些對黑客的入侵行為進行簡單的分析。
實驗內容
使用Trap Server部署一個WEB蜜罐
實驗環境描述
Windows 2007操作系統
VPC1: Trap Server
VPC2: IE瀏覽器
實驗步驟
1、點擊開始實驗進入實驗環境
2、分別都使用默認賬號administrator,密碼123456,進入目標主機桌面。
3、在pc1中以管理員身份運行安裝Trap Server,默認安裝即可(安裝包在d:\tools\中),出現下圖所示界面即安裝成功。
4、運行Trap Server虛擬服務器
啟動Trap Server(默認安裝路徑為C:\Program Files\虛擬服務器軟件)
服務器類別:
分別是“啟動IIS服務器”、“啟動Apache服務器”和“啟動EasyPHP服務器”
軟件可以模擬上述三種服務器,默認監聽的都是80端口。主頁路徑默認的是安裝Trap Server目錄下面的WEB文件夾,可以自己另外設置別的目錄,但主頁的路徑不能修改,可以把自己做的主頁放到文件夾里面,這樣這款蜜罐就可以做為WEB服務器用了。軟件默認監聽的80端口,也可以修改,比如系統安裝了IIS,占用了80,那么完全可以選擇一個沒有被占用的端口,比如8080之類的。 本實驗中將端口設置為8080(在監聽端口編輯框內修改)選擇要模擬的服務器類型后(示例中為IIS,如下圖所示),在主界面點擊“開始監聽”按鈕,點擊“解除阻止”,即可啟動蜜罐服務。
5、進入pc1的cmd界面,輸入“ipconfig”查看pc1的IP地址為172.16.1.7。
進入pc2的cmd界面,輸入“ipconfig”查看pc2的IP地址為172.16.1.8。
6、打開pc2虛擬控制台,打開IE瀏覽器。在瀏覽器中輸入 http://172.16.1.7:8080,出現如下界面:
7、回到PC1中就可以監視到PC2的操作,如下圖所示,172.16.1.8即為PC2的IP地址,在遭受攻擊時,如果不知道攻擊者的真實IP地址,可以點擊“跟蹤”按鈕,軟件會跟蹤IP經過的路由,揪出攻擊者的IP地址。
8、測試Trap Server虛擬服務器
在PC2中打開命令行窗口,輸入telnet 172.16.1.7 8080,連接到實驗台8080端口。
9、在telnet這個命令行窗口中輸入get index.html后,敲兩下ENTER鍵。通過返回的信息就知道服務器的版本了,如下圖所示。
在PC1中可以在Trap Server中看到相應的記錄,如下圖所示。
10、至此實驗結束,關閉虛擬機。