据有关资料显示,现在有大量的服务器仍在使用IIS提供Web服务,甚至有争夺占领Apache市场的趋势。在Web威胁日益严重的今天,我们当然要采用反病毒、防火墙、UTM、NAC等手段来加强网络安全。但是,有时正确地建设一个蜜罐也是对付黑客的必需任务。
什么是蜜罐?简言之,蜜罐就是一个位于互联网上的计算机系统,其特定的目的是为了吸引并“诱捕”试图渗透进入其他人的计算机系统的黑客。要建立一个真正的蜜罐,用户需要做的事情很多,但至少要求用户做到三条,一是安装一个不打补丁的操作系统,并且需要使用默认配置,二是要保证系统上没有任何数据,三是添加一个设计目的是记载入侵者活动的应用程序。
在IIS中配置蜜罐并不是一件件很复杂的事情,但它却可有助于极大地减少对IIS服务器的攻击。严格意义上讲,本文所谈论的并非一个真正的蜜罐,因为一个真正的蜜罐是一个拥有许多漏洞且故意暴露在互联网上的主机,这里所讨论的只不过是一个数据通信的转向器而已。使用HTTP主机的头信息,我们完全可以将攻击者的通信转向一个并不存在的站点上。
黑客们会使用端口扫描器来查找那些开放着80号端口的IP地址,并对这些端口实施其攻击和侵入的企图。另外一方面,网站的终端用户会使用域名来访问站点,因此我们的措施并不会影响这些普通用户。通过启用网站上的主机头名并将IP企图重新转向,我们就可以跟踪和记录黑客来自何方,同时又保持了对终端用户的可用性。
