據(jù)有關(guān)資料顯示,現(xiàn)在有大量的服務(wù)器仍在使用IIS提供Web服務(wù)����,甚至有爭奪占領(lǐng)Apache市場的趨勢。在Web威脅日益嚴(yán)重的今天����,我們當(dāng)然要采用反病毒����、防火墻�����、UTM�、NAC等手段來加強(qiáng)網(wǎng)絡(luò)安全�����。但是���,有時(shí)正確地建設(shè)一個(gè)蜜罐也是對付黑客的必需任務(wù)�����。
什么是蜜罐�����?簡言之�,蜜罐就是一個(gè)位于互聯(lián)網(wǎng)上的計(jì)算機(jī)系統(tǒng)�,其特定的目的是為了吸引并"誘捕"試圖滲透進(jìn)入其他人的計(jì)算機(jī)系統(tǒng)的黑客。要建立一個(gè)真正的蜜罐����,用戶需要做的事情很多�,但至少要求用戶做到三條����,一是安裝一個(gè)不打補(bǔ)丁的操作系統(tǒng),并且需要使用默認(rèn)配置����,二是要保證系統(tǒng)上沒有任何數(shù)據(jù),三是添加一個(gè)設(shè)計(jì)目的是記載入侵者活動(dòng)的應(yīng)用程序���。
在IIS中配置蜜罐并不是一件件很復(fù)雜的事情�����,但它卻可有助于極大地減少對IIS服務(wù)器的攻擊。嚴(yán)格意義上講����,本文所談?wù)摰牟⒎且粋€(gè)真正的蜜罐,因?yàn)橐粋€(gè)真正的蜜罐是一個(gè)擁有許多漏洞且故意暴露在互聯(lián)網(wǎng)上的主機(jī)����,這里所討論的只不過是一個(gè)數(shù)據(jù)通信的轉(zhuǎn)向器而已�����。使用HTTP主機(jī)的頭信息���,我們完全可以將攻擊者的通信轉(zhuǎn)向一個(gè)并不存在的站點(diǎn)上。
黑客們會(huì)使用端口掃描器來查找那些開放著80號(hào)端口的IP地址���,并對這些端口實(shí)施其攻擊和侵入的企圖���。另外一方面,網(wǎng)站的終端用戶會(huì)使用域名來訪問站點(diǎn)����,因此我們的措施并不會(huì)影響這些普通用戶。通過啟用網(wǎng)站上的主機(jī)頭名并將IP企圖重新轉(zhuǎn)向����,我們就可以跟蹤和記錄黑客來自何方,同時(shí)又保持了對終端用戶的可用性����。
理論上的事兒先說到這里,下面我們開始建立一個(gè)蜜罐���。
我們需要做的第一件事情就是要在Web服務(wù)器上建立一個(gè)空的目錄�����。其名稱與位置沒有什么關(guān)系�����,對于本例而言�,筆者創(chuàng)建了一個(gè)稱為Honeypot的目錄,它位于C:Inetpubwwwroot的目錄下���。啟動(dòng)IIS管理程序���,并為所有的站點(diǎn)分配一個(gè)主機(jī)頭名,這樣每一臺(tái)虛擬服務(wù)器都有一個(gè)帶有IP地址的主機(jī)頭名�。如下圖1:
圖1
這里要保證虛擬服務(wù)器不能與無主機(jī)頭名的80號(hào)端口上的IP地址有映射關(guān)系,并保證服務(wù)器不能擁有"全部未分配的" IP尋地址���。并保障主機(jī)的頭信息正確設(shè)置,用戶仍可以訪問所有的站點(diǎn)���。如圖2:
圖2
然后�����,再創(chuàng)建一個(gè)新的網(wǎng)站指向剛才創(chuàng)建的目錄�����。這個(gè)蜜罐網(wǎng)站應(yīng)當(dāng)指定所有未分配的IP地址����,并且不能配置主機(jī)的頭信息。雖然這個(gè)站點(diǎn)的名稱叫"honeypot"���,但這并不影響黑客對它的訪問���。進(jìn)入這個(gè)新網(wǎng)站的屬性設(shè)置界面,選擇"目錄安全"選項(xiàng)卡�,并選中"集成windows身份驗(yàn)證",取消選擇其它的認(rèn)證方法����,然后單擊"確定"。圖3:
圖3
接著����,選擇網(wǎng)站選項(xiàng)卡���,并單擊"高級(jí)",單擊"多網(wǎng)站配置"下的"添加"按鈕���,并添加所有的IP地址�����。如果你收到了一個(gè)關(guān)于IP地址沖突的錯(cuò)誤消息,不要緊�,這表明你沒有為此網(wǎng)站設(shè)置主機(jī)頭名�����。你需要做的是將IP地址從列表中清除���,或?yàn)榇司W(wǎng)站配置一個(gè)主機(jī)頭名�。圖4:
圖4
保存所有的更改�,然后退出Internet 信息服務(wù)。
這樣一來����,當(dāng)一個(gè)惡意用戶通過IP地址來訪問網(wǎng)站時(shí),他就會(huì)被發(fā)送至空目錄�,并得到一個(gè)403錯(cuò)誤。而通過DNS域名來訪問網(wǎng)站的用戶由于有了主機(jī)的頭信息�,就能夠訪問網(wǎng)站的內(nèi)容。
這樣做并不是絕對的安全����,因?yàn)楹诳蛡內(nèi)詴?huì)試圖通過域名來訪問網(wǎng)站,不過其多數(shù)攻擊都被發(fā)送到了IP地址���。使用主機(jī)的頭信息會(huì)改善Web服務(wù)器的性能�����,這是因?yàn)閃WW服務(wù)沒有必要為使用獨(dú)立IP地址的網(wǎng)站分配非頁式內(nèi)在池����。
還有一點(diǎn)�����,一些較低版本的瀏覽器(不符合HTTP1.1規(guī)范的瀏覽器)將被直接轉(zhuǎn)向空目錄���,因?yàn)檫@種瀏覽器不接受主機(jī)頭名���。不過����,現(xiàn)在這種瀏覽器幾乎沒有人用了吧����?
關(guān)鍵詞標(biāo)簽:IIS蜜罐,黑客攻擊
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程