安全技术讲授：配置IIS蜜罐抵抗黑客攻击

核心提示：占有关资料显示，现在有大量的服务器仍在使用IIS提供Web服务，乃至有争取占据Apache市场的趋势。在Web要挟日益严重的今天，我们固然要采取反病毒、防火墙、UTM、NAC等手段来加强网络安全。但是，有时正确地建设1个蜜罐也是对付黑客的必须任务。

占有关资料显示，现在有大量的服务器仍在使用IIS提供Web服务，乃至有争取占据Apache市场的趋势。在Web要挟日益严重的今天，我们固然要采取反病毒、防火墙、UTM、NAC等手段来加强网络安全。但是，有时正确地建设1个蜜罐也是对付黑客的必须任务。

甚么是蜜罐？简言之，蜜罐就是1个位于互联网上的计算机系统，其特定的目的是为了吸引并“诱捕”试图渗透进进其他人的计算机系统的黑客。要建立1个真实的蜜罐，用户需要做的事情很多，但最少要求用户做到3条，1是安装1个不打补钉的操纵系统，并且需要使用默许配置，2是要保证系统上没有任何数据，3是添加1个设计目的是记载进侵者活动的利用程序。

在IIS中配置蜜罐其实不是1件件很复杂的事情，但它却可有助于极大地减少对IIS服务器的攻击。严格意义上讲，本文所谈论的并非1个真实的蜜罐，由于1个真实的蜜罐是1个具有很多漏洞且故意暴露在互联网上的主机，这里所讨论的只不过是1个数据通讯的转向器而已。使用HTTP主机的头信息，我们完全可以将攻击者的通讯转向1个其实不存在的站点上。

黑客们会使用端口扫描器来查找那些开放着80号端口的IP地址，并对这些端口实行其攻击和侵进的企图。另外1方面，网站的终端用户会使用域名来访问站点，因此我们的措施其实不会影响这些普通用户。通过启用网站上的主机头名并将IP企图重新转向，我们便可以够跟踪和记录黑客来自何方，同时又保持了对终端用户的可用性。

理论上的事儿先说到这里，下面我们开始建立1个蜜罐。

我们需要做的第1件事情就是要在Web服务器上建立1个空的目录。其名称与位置没有甚么关系，对本例而言，笔者创建了1个称为Honeypot的目录，它位于C:\Inetpub\wwwroot的目录下。启动IIS 治理程序，并为所有的站点分配1个主机头名，这样每1台虚拟服务器都有1个带有IP地址的主机头名。以下图1：

图1

这里要保证虚拟服务器不能与无主机头名的80号端口上的IP地址有映照关系，并保证服务器不能具有“全部未分配的” IP寻地址。并保障主机的头信息正确设置，用户仍可以访问所有的站点。如图2:

 
图2

然后，再创建1个新的网站指向刚才创建的目录。这个蜜罐网站应当指定所有未分配的IP地址，并且不能配置主机的头信息。固然这个站点的名称叫“honeypot”，但这其实不影响黑客对它的访问。进进这个新网站的属性设置界面，选择“目录安全”选项卡，并选中“集成windows身份验证”，取消选择其它的认证方法，然后单击“肯定”。图3：

 
图3

接着，选择网站选项卡，并单击“高级”，单击“多网站配置”下的”添加”按钮，并添加所有的IP地址。假设你收到了1个关于IP地址冲突的毛病消息,没关系，这表明你没有为此网站设置主机头名。你需要做的是将IP地址从列表中清除，或为此网站配置1个主机头名。图4：

 
图4

保存所有的更改，然后退出Internet 信息服务。

这样1来，当1个恶意用户通过IP地址来访问网站时，他就会被发送至空目录，并得到1个403毛病。而通过DNS域名来访问网站的用户由于有了主机的头信息，便可以够访问网站的内容。

这样做其实不是尽对的安全，由于黑客们仍会试图通过域名来访问网站，不过其多数攻击都被发送到了IP地址。使用主机的头信息会改良Web服务器的性能，这是由于WWW服务没有必要为使用独立IP地址的网站分配非页式内在池。

还有1点，1些较低版本的浏览器（不符合HTTP1.1规范的浏览器）将被直接转向空目录，由于这类浏览器不接受主机头名。不过，现在这类浏览器几近没有人用了吧？

评论加载中... 内容： 评论者： 验证码：