---------------------------------------------------------------------
我们看到第一行是说在某天某时,Trap Server开始侦听服务器的80端口。接下来有行为发生,比如有帐号登录服务器,发送了一个命令,行为是GET,后面是该帐号的IP地址和使用的端口,再下面的一行就是这个命令获取的文件,是IIS目录下面的Index.htm文件,发送了4628个字节给来自这个地址的GET请求,完成之后用户退出。
蝴蝶:普通情况下,当我们去GET一个页面的时候,可能包含大量的图片,那么就会有很多这样子的记录,需要慢慢的提取有用的信息。
很多朋友都习惯使用手工的方法去判断系统版本,最常用的就是直接Telnet它的80端口,如果我们Telnet到服务器的80端口会有什么情况呢?执行:Telnet 192.168.1.9 80,然后GET并回车,我在日志里面得到如下的内容:
---------------------------------------------------------------------
User logged in
User logged out
为什么会这样子呢?因为我们只是Telnet到服务器,没有获取任何文件的动作。如果执行下列的命令:Telnet 192.168.1.9 80,然后“摸黑”输入“get index.htm”,则会有下列的日志:
---------------------------------------------------------------------
User logged in
<2004-11-23> <22:22:15> Command GET / received from 192.168.1.9:2966
Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2966
User logged out
---------------------------------------------------------------------
看到了吗?我们输入了获取Index.htm文件的命令,程序里就多了一些内容了……不难看懂吧?呵呵。
在跟踪入侵者这里,上面的一行是自动变化的,下面的是跟踪对象。下面的“最大值”是设置跟踪路由的跃点,比如设置成30就可以跟踪30个路由(如图2所示)。
图2
如果你点了“跟踪”,那么你就会在右下角这里看到下列情况(如图3所示):
图3
软件会跟踪IP经过的路由,因为我这里是在本机做测试,没有经过路由器,所以看到的只能是这样子,有外网IP的朋友可以测试下效果。
在实际应用方面,Trap Server正是现在非常流行的SQL注入攻击的天敌,能详细的记录各类手工的、利用工具实现的攻击方法,并完整的重显当时的入侵过程,这下网管朋友们知道如何跟踪这样的攻击了吧?!
好了,就几个按钮的软件我罗罗嗦嗦地说了这么多,蝴蝶MM肯定又在怀疑我骗稿费了,我闪!有任何问题可以去《黑客防线》的论坛讨论!
