安全技術(shù)講解：配置IIS蜜罐抵御黑客攻擊

據(jù)有關(guān)資料顯示，現(xiàn)在有大量的服務(wù)器仍在使用IIS提供Web服務(wù)，甚至有爭奪占領(lǐng)Apache市場的趨勢。在Web威脅日益嚴(yán)重的今天，我們當(dāng)然要采用反病毒、防火墻、UTM、NAC等手段來加強(qiáng)網(wǎng)絡(luò)安全。但是，有時正確地建設(shè)一個蜜罐也是對付黑客的必需任務(wù)。

什么是蜜罐？簡言之，蜜罐就是一個位于互聯(lián)網(wǎng)上的計(jì)算機(jī)系統(tǒng)，其特定的目的是為了吸引并“誘捕”試圖滲透進(jìn)入其他人的計(jì)算機(jī)系統(tǒng)的黑客。要建立一個真正的蜜罐，用戶需要做的事情很多，但至少要求用戶做到三條，一是安裝一個不打補(bǔ)丁的操作系統(tǒng)，并且需要使用默認(rèn)配置，二是要保證系統(tǒng)上沒有任何數(shù)據(jù)，三是添加一個設(shè)計(jì)目的是記載入侵者活動的應(yīng)用程序。

在IIS中配置蜜罐并不是一件件很復(fù)雜的事情，但它卻可有助于極大地減少對IIS服務(wù)器的攻擊。嚴(yán)格意義上講，本文所談?wù)摰牟⒎且粋�真正的蜜罐，因?yàn)橐粋�真正的蜜罐是一個擁有許多漏洞且故意暴露在互聯(lián)網(wǎng)上的主機(jī)，這里所討論的只不過是一個數(shù)據(jù)通信的轉(zhuǎn)向器而已。使用HTTP主機(jī)的頭信息，我們完全可以將攻擊者的通信轉(zhuǎn)向一個并不存在的站點(diǎn)上。

黑客們會使用端口掃描器來查找那些開放著80號端口的IP地址，并對這些端口實(shí)施其攻擊和侵入的企圖。另外一方面，網(wǎng)站的終端用戶會使用域名來訪問站點(diǎn)，因此我們的措施并不會影響這些普通用戶。通過啟用網(wǎng)站上的主機(jī)頭名并將IP企圖重新轉(zhuǎn)向，我們就可以跟蹤和記錄黑客來自何方，同時又保持了對終端用戶的可用性。

理論上的事兒先說到這里，下面我們開始建立一個蜜罐。

我們需要做的第一件事情就是要在Web服務(wù)器上建立一個空的目錄。其名稱與位置沒有什么關(guān)系，對于本例而言，筆者創(chuàng)建了一個稱為Honeypot的目錄，它位于C:\Inetpub\wwwroot的目錄下。啟動IIS 管理程序，并為所有的站點(diǎn)分配一個主機(jī)頭名，這樣每一臺虛擬服務(wù)器都有一個帶有IP地址的主機(jī)頭名

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]