- Trap Server是一款蜜罐软件,什么是蜜罐呢?蜜罐实际上是入侵检测的一种,别说你对入侵检测也一无所知,光看字面意思也差不多了:如果你被入侵,有一款软件可以检测出来,这个软件就叫做入侵检测软件(英文缩写为IDS)。蜜罐可以伪装成一些常用的或者不常用的服务,比如WEB、FTP等,把一些黑客诱拐过来。关于Trap这个单词,小弟不才,在金山词霸网站的简明英汉词典查询的意思是:“n.圈套, 陷阱, 诡计, 活板门, 存水弯, 汽水闸, (双轮)轻便马车;vi.设圈套, 设陷阱;vt.诱捕, 诱骗, 计捉, 设陷, 坑害, 使受限制”,明白了吧?这个软件分明就是一款软件陷阱!不要我说这款软件针对的对象了吧?!
蝴蝶:我一直这么看待蜜罐的:我是猎人,我要猎一只笨熊,但是难道要我自己去找到笨熊然后和它单挑?当然我想任何一个智商没有问题的人是不会这么做的。我必然是做好诱饵,然后端着猎枪静静的守在一旁。那么我们这个“诱饵”,就是“蜜罐”——你没有从书上看到说笨熊喜欢吃蜂巢?就是我一直认为的蜜罐啦!
软件可以从汉化者的主页http://kxtm01.126.com下载,顺便说一下汉化者虽然我不认识,但是看网站的照片是个很帅的小伙……当然水平也很不错!首先下载Trap Server,然后安装,我们看到它的主界面(如图1所示)。
图1
由于拿到的是汉化版,不用我费功夫拿着金山词霸翻译给大家了,“文件”和“编辑”菜单压根没有说的必要,“选项”里面只有一个“开机自动运行”有调整的必要。在“服务器类别”里则有三个选项,分别是启动IIS服务器、启动Apache服务器、启动EasyPHP服务器,就是说这款软件可以模拟上述三种服务器。“帮助”菜单估计我想说都没的说……
在主界面,我们可以看到有“开始监听”、“停止监听”的按钮,这个就是“电源•开”和“电源•关”了,下面有是否自动保存日志的选项,监听的端口因为Trap Server模拟的IIS、Apache和EasyPHP都是WEB服务器,所以都是80端口,主页路径默认的是安装Trap Server目录下面的WEB文件夹,如果选择模拟IIS服务器就是在IIS子文件夹下面,其它的也一样,当然你可以自己另外设定别的目录。它主页的路径不能修改,你可以把你自己做的主页放到文件夹里面,这样子这款蜜罐就可以做为WEB服务器用了。我试了一下效果还不错,不过要注意如果你装了IIS或者别的占用端口80服务器,要先停掉,否则就冲突了。
蝴蝶:它默认监听的是80端口,不过你也可以自己修改,比如你只是想做测试用,你的计算机装了IIS,占用了80,那么你完全可以选择一个没有被占用的端口,比如7626之类的(什么?你的计算机这个端口也被占用了?!)。
我们实地测试一下效果,打开浏览器输入你服务器的IP,访问你用Trap Server模拟的WEB服务,在出现内容的同时,我们也发现在Trap Server主界面的左下闪动了一下,增加了几行记录!分离一些重复的,剩下的记录是这样的:
---------------------------------------------------------------------
<2004-11-23> <22:12:48> Listening for HTTP connections on 0.0.0.0:80.
User logged in
<2004-11-23> <22:13:03> Command GET / received from 192.168.1.9:2943
Serving file C:\Program Files\虚拟服务器软件\Web\iis\index.htm (4628 bytes / 4628 bytes sent) to 192.168.1.9:2943
User logged out
文章来源于领测软件测试网 https://www.ltesting.net/
