我們知道如果我們要去黑別人，我們是要進行一些行為的，比如：telnet到服務器的80端口確認服務器是IIS？Apache？或者別的WEB Server，但是你有沒有想到，當這一切都被對方的服務器記錄下來，包括你探測的時間、IP地址、行為……怎么辦？

下面要介紹的就是這樣一款軟件——Trap Server。這是一款蜜罐軟件，什么是蜜罐呢？蜜罐實際上是入侵檢測的一種，別說你對入侵檢測也一無所知啊，光看字面意思也差不多了，如果你被入侵，有這么一款軟件可以檢測出來，這個軟件就叫做入侵檢測(英文縮寫為IDS)。

蜜罐的作用也差不多，不過更加主動，它可以偽裝一些常用的或者不常用的服務，比如WEB、FTP服務，大家也知道Microsoft的IIS漏洞是比較多的，如果偽裝成一個IIS服務器，是不是會把一些黑客誘拐過來？

我一直這么看待蜜罐的：我是獵人，我要獵一直笨熊，但是難道要我自己去找到笨熊然后和它單挑？當然我想任何一個智商沒有問題的人是不會這么做的。我必然是做好誘餌，然后端著獵槍靜靜的守在一旁。那么我們這個“誘餌”，就是“蜜罐”——你沒有從書上看到說笨熊喜歡吃蜂巢？就是我一直認為的蜜罐啦！

嗯，廢話不多說了，明白大體的意思就可以，因為你看了下面的操作之后就會對蜜罐這個事物有個比較深刻的印象，其實比我在這里嘮嘮叨叨好的多。

軟件可以從漢化者的主頁http://kxtm01.126.com下載，順便說一下漢化者雖然我不認識，但是看網站的照片是個很帥的小伙……當然水平也很不錯！

再嘮叨一下：Trap Server，關于Trap這個單詞，小弟不才，在金山詞霸網站的簡明英漢詞典查詢的意思是：“n.圈套, 陷阱, 詭計, 活板門, 存水彎, 汽水閘, (雙輪)輕便馬車；vi.設圈套, 設陷阱；vt.誘捕, 誘騙, 計捉, 設陷, 坑害, 使受限制”，明白了吧？這個軟件分明就是一款軟件陷阱！不要我說這款軟件針對的對象了吧？！

首先——下載Trap Server，然后安裝（豈不是廢話？！）

然后我們看到主界面： #p#

圖1

由于拿到的是漢化版，不用我費功夫拿著金山詞霸翻譯給大家了，“文件”和“編輯”菜單壓根沒有我說的必要，“選項”里面只有一個“開機自動運行”有調整的必要，在“服務器類別”里面則有三個選項，分別是：啟動IIS服務器、啟動Apache服務器、啟動EasyPHP服務器。就是說這款軟件可以模擬上述三種服務器。“幫助”菜單估計我想說都沒的說……

在主界面，我們可以看到有“開始監聽”、“停止監聽”。這個就是“電源•開”和“電源•關”了，下面有是否自動保存日志的選項，監聽的端口因為Trap Server模擬的IIS、Apache和EasyPHP都是WEB服務器(注：這個EasyPHP是一款集成了Apache＋PHP＋MySQL＋PhpMyAdmin的軟件)，所以都是80端口，不過你也可以自己修改端口。

比如你只是想做測試用，你的計算機裝了IIS，占用了80端口，那么你完全可以選擇一個沒有被占用的端口，比如7626啦之類的（什么？你的計算機這個端口也被占用了？！）主頁路徑默認的是安裝Trap Server目錄下面的WEB文件夾，如果選擇模擬IIS服務器就是在IIS子文件夾下面，其它的也一樣，當然你可以自己另外設定別的目錄。

當然這個主頁的路徑不能修改，你可以把你自己做的主頁放到文件夾里面，這樣子這款蜜罐就可以做為WEB服務器用了，我試了一下效果還不錯。不過要注意如果你裝了IIS或者別的占用端口80服務器，要先停掉，否則就沖突了。

我們實地測試一下效果，打開瀏覽器輸入你服務器的IP訪問你用Trap Server模擬的WEB服務，在出現內容的同時，我們也發現在Trap Server主界面的左下部分閃動了，增加了幾行記錄！分離一些重復的就是： #p#

------------------------------------------------------------------------------------

<2004-11-23> <22:12:48> Listening for HTTP connections on 0.0.0.0:80.

User logged in

<2004-11-23> <22:13:03> Command GET / received from 192.168.1.9:2943

Serving file C:\Program Files\虛擬服務器軟件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2943

User logged out

------------------------------------------------------------------------------------

我們看到第一行是說在某天某時，Trap Server開始偵聽服務器的80端口。

接下來有行為發生，比如某個帳號登錄服務器，發送了一個命令，行為是GET，后面是該帳號的IP地址和使用的端口，再下面的一行就是這個命令獲取的文件，是iis目錄下面的index.htm文件，發送了4628個字節給來自這個地址的GET請求。完成之后用戶退出。

當然一般的我們去GET一個頁面的時候，可能包含大量的圖片，那么就會有很多這樣子的記錄，需要慢慢的提取了。

如果我們telnet到服務器的80端口會有什么情況呢？執行：telnet 192.168.1.9 80，然后get后回車，我在日志里面得到如下的內容：

------------------------------------------------------------------------------------

User logged in

User logged out #p#

為什么會這樣子呢？因為我們只是telnet到服務器，沒有獲取任何文件的動作，如果執行下列的命令：telnet 192.168.1.9 80，然后“摸黑”輸入“get index.htm”，則會有下列的日志：

------------------------------------------------------------------------------------

User logged in

<2004-11-23> <22:22:15> Command GET / received from 192.168.1.9:2966

Serving file C:\Program Files\虛擬服務器軟件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2966

User logged out

------------------------------------------------------------------------------------

看到了？我們輸入了獲取index.htm文件，就多了一些內容了……不難看懂吧？呵呵

在跟蹤入侵者這里，上面的一行是自動變化的，下面的是跟蹤對象。下面的“最大值”這里，是設置跟蹤路由的躍點的，比如設置成30就可以跟蹤30個路由。

圖2

如果你點了“跟蹤”，那么你就會在右下角這里看到下列情況：

圖3

會跟蹤IP經過的路由，因為我這里是在本機做測試，沒有經過路由器，所以看到的只能這樣子，有外網IP的朋友可以測試下效果。