安全防护与入侵检测SPPT课件

《安全防护与入侵检测SPPT课件》由会员分享，可在线阅读，更多相关《安全防护与入侵检测SPPT课件（53页珍藏版）》请在装配图网上搜索。

1、安全防护与入侵检测S Sniffer Pro Sniffer Pro网络管理与监视网络管理与监视5.1 入侵检测系统入侵检测系统5.2 蜜蜜 罐罐 系系 统统5.3安全防护与入侵检测S Sniffer Pro支持各种平台（支持各种平台（Windows XP/2000/NT/ME/9X/2003），性能优越，是可视化），性能优越，是可视化的网络分析软件，主要功能有以下几点。的网络分析软件，主要功能有以下几点。实时监测网络活动。实时监测网络活动。数据包捕捉与发送。数据包捕捉与发送。网络测试与性能分析。网络测试与性能分析。利用专家分析系统进行故障诊断。利用专家分析系统进行故障诊断。网络硬件设备测试与

2、管理。网络硬件设备测试与管理。安全防护与入侵检测S1Sniffer Pro的登录（单块网卡时）安全防护与入侵检测S1Sniffer Pro的登录（多块网卡时）安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pr

3、o的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S2Sniffer Pro的界面安全防护与入侵检测S Sniffer Pro是一款比较完备的网络管是一款比较完备的网络管理工具，可以用来捕获流量。对于蠕虫病理工具，可以用来捕获流量。对于蠕虫病毒、广播风暴或者网络攻击，识别它们最毒、广播风暴或者网络攻击，识别它们最好的方法是，分析问题并将之分类，这样好的方法是，分析问题并将之分类，这样就可以全面了解网络的现状，并针对不同就可以全面了解网络的现状，并针对不同的问题采取不同的解决方法。首先了解一的问题采取不同的解决方法。首先了解一下捕获栏的使用，如表下捕获栏的使用，如表5.

4、1所示。所示。捕获栏捕获栏安全防护与入侵检测S表5.1捕获栏功能介绍名 称图 标功 能开始按钮表示可以开始捕获过程暂停按钮可以在任何时间停止捕获过程，稍后再继续停止按钮可以停止过程来查看信息，或将信息存为一个文件停止并显示按钮以停止捕获并显示捕获的帧显示按钮显示一个已经停止捕获过程的结果定义过滤器按钮定义用来捕获帧的条件选择过滤器以从定义好的条件列表中选择一个用于捕获安全防护与入侵检测S安全防护与入侵检测S安全防护与入侵检测S表5.2 Sniffer Pro高级系统层次与OSI对应关系图 标高级系统层次名称OSI模型的层次服务层（Service）应用层与表示层应用程序层（Application

5、）应用层与表示层会话层（Session）会话层数据链路层（Connection）数据链路层工作站层（Station）网络层DLC数据链路层与物理层安全防护与入侵检测S安全防护与入侵检测S5.2.1 入侵检测的概念与原理入侵检测的概念与原理入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术是用来发现内部攻击、外部攻击和误操作的一种方法。是一种动态的网络安全技术，传统的操作系统加固技术等都是静态安全防御技术。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误

6、操作的实时保护。安全防护与入侵检测S5.2.1 入侵检测的概念与原理入侵检测的概念与原理图5.26 通用入侵检测模型入侵检测利用不同的引擎实时或定期地对网络数据源进行分析，并对其中的威胁部分提取出来，触发响应机制。将入侵检测的软件与硬件的组合称为入侵检测系统（IDS）安全防护与入侵检测S入侵检测系统一般由入侵检测系统一般由4个部分的组成：事件发生个部分的组成：事件发生器、事件分析器、响应单元、事件数据库。器、事件分析器、响应单元、事件数据库。图5.27 入侵检测系统的组成提供事件记录流的信息源收集信息源的数据对基于分析引擎的数据结果产生反应存放各种中间和最终数据的地方的统称安全防护与入侵检测S

7、入侵检测系统的功能：入侵检测系统的功能：（1）检测和分析用户与系统的活动）检测和分析用户与系统的活动（2）审计系统配置和漏洞）审计系统配置和漏洞（3）评估系统关键资源和数据文件的完整性）评估系统关键资源和数据文件的完整性（4）识别已知攻击）识别已知攻击（5）统计分析异常行为）统计分析异常行为（6）操作系统的审计、跟踪、管理、并识别）操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动违反安全策略的用户活动安全防护与入侵检测S1按照检测类型划分按照检测类型划分（2）特征检测模型（）特征检测模型（Signature-based detection）（1）异常检测模型（）异常检测模型（Anoma

8、ly detection）安全防护与入侵检测S（1）基于主机的入侵检测产品（）基于主机的入侵检测产品（HIDS）安装在被检测的主机上，对该主机的安装在被检测的主机上，对该主机的网络进行实时连接以及系统审计日志进行网络进行实时连接以及系统审计日志进行智能分析和判断。智能分析和判断。（2）基于网络的入侵检测产品（）基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监放置在比较重要的网段内，不停地监视网段中的各种数据包。视网段中的各种数据包。安全防护与入侵检测S一般入侵检测产品都由传感器和控制台两个部分组成。一般入侵检测产品都由传感器和控制台两个部分组成。传感器负责采集、分析数据并生成

9、安全事件。控制台主传感器负责采集、分析数据并生成安全事件。控制台主要起到中央管理的作用。基于网络的入侵检测系统需要要起到中央管理的作用。基于网络的入侵检测系统需要有传感器才能工作。入侵检测系统的位置主要是传感器有传感器才能工作。入侵检测系统的位置主要是传感器的部署位置。如果传感器放的位置不正确，入侵检测系的部署位置。如果传感器放的位置不正确，入侵检测系统也无法工作在最佳状态，一般可以采取以下统也无法工作在最佳状态，一般可以采取以下4个选择：个选择：，传感器可以发现所有来自，传感器可以发现所有来自Internet 的攻击，然而如果攻击类型是的攻击，然而如果攻击类型是TCP攻击，而防火攻击，而防火

10、墙或过滤路由器能封锁这种攻击，那么入侵检测系统可墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种攻击的发生。能就检测不到这种攻击的发生。，可以检测所有对保护网络的攻，可以检测所有对保护网络的攻击事件，包括数目和类型。但是这样部署会使传感器彻击事件，包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。底地暴露在黑客之下。安全防护与入侵检测S ，传感器可以监控大量的网络，传感器可以监控大量的网络数据，可提高检测黑客攻击的可能性，可通过授权用户数据，可提高检测黑客攻击的可能性，可通过授权用户的权利周界来发现未授权用户的行为。的权利周界来发现未授权用户的行为。，对非常重要的系，

11、对非常重要的系统和资源的入侵检测，比如一个公司的财务部门，这个统和资源的入侵检测，比如一个公司的财务部门，这个网段安全级别需求非常高，因此可以对财务部门单独放网段安全级别需求非常高，因此可以对财务部门单独放置一个检测器系统。置一个检测器系统。安全防护与入侵检测S表5.5入侵检测系统选择标准产品是否可扩展系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理该产品是否进行过攻击测试了解产品提供商提供的产品是否进行过攻击测试，明确测试步骤和内容，主要关注本产品抵抗拒绝服务攻击的能力产品支持的入侵特征数不同厂商对检测特征库大小的计算方法都不一样，尽量参考国际标准特征库

12、升级与维护的周期、方式、费用入侵检测的特征库需要不断更新才能检测出新出现的攻击方法最大可处理流量一般有百兆、千兆、万兆之分是否通过了国家权威机构的测评主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心是否有成功案例需要了解产品的成功应用案例，有必要进行实地考察和测试使用系统的价格性能价格比，以要保护系统的价值为主要的因素安全防护与入侵检测SAxent Technologies公司网址公司网址:http:/Cisco Systems公司网址公司网址:http:/Internet Security Systems公司网址公司网址:http:/Intrusi

13、on Detection公司网址公司网址:http:/Network Associates公司网址公司网址:http:/http:/Computer Associates公司网址公司网址:http:/ Information Systems公司网址公司网址:http:/Network Security Wizards公司网址公司网址:http:/Network Ice公司网址公司网址:http:/NFR公司网址公司网址:http:/ BlackICE Server Protection 软件软件 萨客嘶入侵检测系统萨客嘶入侵检测系统安全防护与入侵检测SBlackICE Server Prote

14、ction 软件（以下简称软件（以下简称BlackICE）是由是由ISS安全公司出品的一款著名的入侵检测系统。该软安全公司出品的一款著名的入侵检测系统。该软件在九九年曾获得了件在九九年曾获得了PC Magazine的技术卓越大奖。专家的技术卓越大奖。专家对它的评语是：对它的评语是：“对于没有防火墙的家庭用户来说，对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施又增加了一层保护措施它并不是要取代防火墙，而是它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。阻止企图穿过防火墙的入侵者。BlackI

15、CE集成有非常强集成有非常强大的检测和分析引擎，可以识别多种入侵技巧，给予用户大的检测和分析引擎，可以识别多种入侵技巧，给予用户全面的网络检测以及系统的呵护。而且该软件还具有灵敏全面的网络检测以及系统的呵护。而且该软件还具有灵敏度及准确率高，稳定性出色，系统资源占用率极少的特点。度及准确率高，稳定性出色，系统资源占用率极少的特点。软件版本：软件版本：3.6、软件大小：、软件大小：6.11 M、软件语言：英文、软件语言：英文、软件类别：国外软件软件类别：国外软件/注册版注册版/网络安全、运行环境：网络安全、运行环境：Win9x/NT/2000/XP/2003/、下载地址：、下载地址：http:/

16、 安全防护与入侵检测SBlackICE安装后以后台服务的方式运行，安装后以后台服务的方式运行，前端有一个控制台可以进行各种报警和修前端有一个控制台可以进行各种报警和修改程序的配置，界面很简洁。改程序的配置，界面很简洁。BlackICE软软件最具特色的地方是内置了应用层的入侵件最具特色的地方是内置了应用层的入侵检测功能，并且能够与自身的防火墙进行检测功能，并且能够与自身的防火墙进行联动，可以自动阻断各种已知的网络攻击联动，可以自动阻断各种已知的网络攻击行为。行为。安全防护与入侵检测SBlackICE具有强大的网络攻击检测具有强大的网络攻击检测能力，可以说大部分的非法入侵都能力，可以说大部分的非法

17、入侵都会被它发现，并采取会被它发现，并采取Critical、Serious、Suspicious和和Information这这4种级别报警（分别用红、橙黄、种级别报警（分别用红、橙黄、黄和绿黄和绿4种颜色标识，危险程度依次种颜色标识，危险程度依次降低）。同样，降低）。同样，BlackICE对外来访对外来访问也设有问也设有4个安全级别，分别是个安全级别，分别是Trusting、Cautious、Nervous和和Paranoid。Paranoid是阻断所有的未受权信息，是阻断所有的未受权信息，Nervous是阻断大部分的未受权信息，是阻断大部分的未受权信息，Cautious是阻断部分的未受权的信

18、是阻断部分的未受权的信息，而软件缺省设置的是息，而软件缺省设置的是Trusting级级别，即接受所有的信息。修改以上别，即接受所有的信息。修改以上安全级别，可以通过安全级别，可以通过“Tools”菜单中菜单中的的“Edit BlackICE Settings”，选择，选择“Firewall”来进行。来进行。安全防护与入侵检测SBlackICE提供了一个简单的防火墙设置界面，通提供了一个简单的防火墙设置界面，通过选择过选择“Tools”菜单中的菜单中的“Advanced Firewall Settings”，就可以对，就可以对TCP/UDP端口或端口或IP地址进行地址进行禁止或允许等访问规则的配

19、置。禁止或允许等访问规则的配置。安全防护与入侵检测S另外，针对上述功能另外，针对上述功能BlackICE软件还提供了软件还提供了详细的检测日志。详细的检测日志。“Intruders”中列出了中列出了BlackICE发现的全部可发现的全部可疑疑IP地址，逐一点击可地址，逐一点击可以查看每个以查看每个IP的详细信的详细信息，包括息，包括IP地址、地址、Node节点名、节点名、Group组、组、NetBIOS名称、名称、MAC地地址和址和DNS解析地址等。解析地址等。安全防护与入侵检测S“History”给出了在过给出了在过去的时间段里（去的时间段里（Min、Hour、Day）发生的事）发生的事件和

20、网络流量的曲线趋件和网络流量的曲线趋势图表（当曲线出现波势图表（当曲线出现波动时，表示存在不正常动时，表示存在不正常的网络行为，点击某个的网络行为，点击某个波形就可以查看相对应波形就可以查看相对应的事件信息）。的事件信息）。“Events”显示显示BlackICE所发现的全所发现的全部入侵或访问事件。部入侵或访问事件。安全防护与入侵检测S萨客嘶入侵检测系统是一种积极主动的网络安全防护工萨客嘶入侵检测系统是一种积极主动的网络安全防护工具，提供了对内部和外部攻击的实时保护，它通过对网具，提供了对内部和外部攻击的实时保护，它通过对网络中所有传输的数据进行智能分析和检测，从中发现网络中所有传输的数据进

21、行智能分析和检测，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，络或系统中是否有违反安全策略的行为和被攻击的迹象，在网络系统受到危害之前拦截和阻止入侵。在网络系统受到危害之前拦截和阻止入侵。萨客嘶入侵检测系统基于协议分析，采用了快速的多模萨客嘶入侵检测系统基于协议分析，采用了快速的多模式匹配算法，能对当前复杂高速的网络进行快速精确分式匹配算法，能对当前复杂高速的网络进行快速精确分析，在网络安全和网络性能方面提供全面和深入的数据析，在网络安全和网络性能方面提供全面和深入的数据依据，是企业、政府、学校等网络安全立体纵深、多层依据，是企业、政府、学校等网络安全立体纵深、多层次防御的重要

22、产品。次防御的重要产品。安全防护与入侵检测S检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，木马，ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为，对目标网络进行保护。置主动切断危险行为，对目标网络进行保护。对网络中用户的行为进行审计记录，包括用户范围对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发网站，收发邮件，使用邮件，使用FTP传输文件，使用传输文件，使用MSN、QQ等即时通讯软件等行为，等即时通讯软件等行为，帮助管理员发现潜在的网

23、络威胁。同时对网络中的敏感行为进行审帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。计。对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用。源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用。安全防护与入侵检测S检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为，

24、对目标网络进行保护。险行为，对目标网络进行保护。对网络中用户的行为进行审计记录，包括用户范围对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发邮件，网站，收发邮件，使用使用FTP传输文件，使用传输文件，使用MSN、QQ等即时通讯软件等行为，帮助管理员发等即时通讯软件等行为，帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。现潜在的网络威胁。同时对网络中的敏感行为进行审计。对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用。蠕虫、拒绝服务攻击，确保用户网

25、络正常使用。高级用户可以根据自身网络情况，对检测规则进行定义，制定针对用户网络高级用户可以根据自身网络情况，对检测规则进行定义，制定针对用户网络的高效策略，加强入侵检测系统的检测准确性。的高效策略，加强入侵检测系统的检测准确性。安全防护与入侵检测S对警报事件进行及时响应，包括实时切断会话连接、记录日志。对警报事件进行及时响应，包括实时切断会话连接、记录日志。利用碎片穿透技术突破防火墙和欺骗利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段，萨客已经成为黑客们常用的手段，萨客嘶入侵检测系统能够进行完全的嘶入侵检测系统能够进行完全的IP碎片重组，发现所有的基于碎片重组，发现所有的基于I

26、P碎片的攻击。碎片的攻击。通过对通过对TCP协议状态的跟踪，能够完全避免因单包匹配造成的误报。协议状态的跟踪，能够完全避免因单包匹配造成的误报。Stick、Snot等黑客工具通过发送没有经过三次握手的等黑客工具通过发送没有经过三次握手的TCP攻击报文触发大量的攻击报文触发大量的 IDS报警，但这些报警，但这些TCP报文并不会真正对目标机器产生实际的效果。（通常是被报文并不会真正对目标机器产生实际的效果。（通常是被丢弃）此时丢弃）此时IDS产生大量的警告就属于误报。处理不当可能造成产生大量的警告就属于误报。处理不当可能造成IDS系统瘫系统瘫痪。萨客嘶入侵检测系统完全模仿受保护的机器丢弃这些残缺报

27、文，极大地痪。萨客嘶入侵检测系统完全模仿受保护的机器丢弃这些残缺报文，极大地减小了误报率。减小了误报率。采用类似于采用类似于Telnet方式将攻击报文拆成一个个的小报文进行发送，可以逃避方式将攻击报文拆成一个个的小报文进行发送，可以逃避基于单包的基于单包的IDS的检测。萨客嘶入侵检测系统采用流汇重组式检测该类攻击的检测。萨客嘶入侵检测系统采用流汇重组式检测该类攻击手段。手段。安全防护与入侵检测S入侵防护技术（入侵防护技术（IPS）是一种主动的、积极的入侵防范及）是一种主动的、积极的入侵防范及阻止系统，是建立在入侵检测系统（阻止系统，是建立在入侵检测系统（IDS）基础上的新生）基础上的新生网络安

28、全产品。网络安全产品。目前，从保护对象上可将目前，从保护对象上可将IPS分为分为3类。类。基于主机的入侵防护（基于主机的入侵防护（HIPS），用于保护服务器和主），用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏。机系统不受不法分子的攻击和误操作的破坏。基于网络的入侵防护（基于网络的入侵防护（NIPS），通过检测流经的网络），通过检测流经的网络流量，提供对网络体系的安全保护，一旦辨识出有入侵流量，提供对网络体系的安全保护，一旦辨识出有入侵行为，行为，NIPS就阻断该网络会话。就阻断该网络会话。应用入侵防护（应用入侵防护（AIP），是将基于主机的入侵防护扩展），是将基于主机的入侵防护扩展

29、成为位于应用服务器之前的网络信息安全设备。成为位于应用服务器之前的网络信息安全设备。安全防护与入侵检测S安全防护与入侵检测S5.3.1 蜜罐概述蜜罐概述 蜜罐及蜜网技术是一种捕获和分析恶蜜罐及蜜网技术是一种捕获和分析恶意代码及黑客攻击活动，从而达到了解对意代码及黑客攻击活动，从而达到了解对手目的的技术。蜜罐是一种安全资源，其手目的的技术。蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷，从而实现价值在于被扫描、攻击和攻陷，从而实现对攻击活动的监视、检测和分析。对攻击活动的监视、检测和分析。设计蜜罐就是让黑客入侵，欺骗对方，设计蜜罐就是让黑客入侵，欺骗对方，借此保护服务器和收集证据。借此保护服务

30、器和收集证据。安全防护与入侵检测S 根据网络应用的不同，蜜罐的系统和漏洞设根据网络应用的不同，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，因此，置要求也不尽相同，蜜罐是有针对性的，因此，就产生了多种多样的蜜罐。就产生了多种多样的蜜罐。（1）按照部署分为以下两种。）按照部署分为以下两种。产品型产品型用于保护单位网络，实现防御、检用于保护单位网络，实现防御、检测和帮助对攻击的响应，主要产品有测和帮助对攻击的响应，主要产品有KFSensor、Specter、ManTrap。研究型研究型用于对黑客攻击进行捕获和分析，用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具，例如了解攻击的过程

31、、方法和工具，例如Gen 蜜网、蜜网、Honeyd。安全防护与入侵检测S 低交互型蜜罐低交互型蜜罐用于模拟服务和操作系统，用于模拟服务和操作系统，利用一些工具程序强大的模仿能力，伪造出不属利用一些工具程序强大的模仿能力，伪造出不属于自己平台的于自己平台的“漏洞漏洞”，容易部署、减少风险，容易部署、减少风险，但只能捕获少量信息，主要有但只能捕获少量信息，主要有Specter、KFSensor、Honeyd。高交互型蜜罐高交互型蜜罐最真实的蜜罐，它运行着真最真实的蜜罐，它运行着真实的系统，并且带有真实可入侵的漏洞，属于最实的系统，并且带有真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往

32、往是最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获更丰富的信息，但部署复杂，真实的，可以捕获更丰富的信息，但部署复杂，但风险较大，主要有但风险较大，主要有ManTrap,Gen蜜网。蜜网。安全防护与入侵检测S 一般地，黑客们会使用端口扫描器来查找那些开放一般地，黑客们会使用端口扫描器来查找那些开放着着80号端口的号端口的IP地址，并对这些端口实施其攻击和侵入地址，并对这些端口实施其攻击和侵入的企图。另外，网站的终端用户会使用域名来访问站点。的企图。另外，网站的终端用户会使用域名来访问站点。因此可以在在因此可以在在IIS中配置蜜罐。通过启用网站上的主中配置蜜罐。通过启用网站上的主机

33、头名并将机头名并将IP企图重新转向，就可以跟踪和记录黑客来企图重新转向，就可以跟踪和记录黑客来自何方，同时又保持了对终端用户的可用性。自何方，同时又保持了对终端用户的可用性。在在IIS中配置蜜罐并不是一件件很复杂的事情，但它中配置蜜罐并不是一件件很复杂的事情，但它却可有助于极大地减少对却可有助于极大地减少对IIS服务器的攻击。服务器的攻击。安全防护与入侵检测S首先，就是要在首先，就是要在Web服务器上建立一个空的目录。其名称与位置没服务器上建立一个空的目录。其名称与位置没有什么关系，对于本例而言，我们创建了一个称为有什么关系，对于本例而言，我们创建了一个称为Honeypot的目录，的目录，它位

34、于它位于C:Inetpubwwwroot的目录下。启动的目录下。启动IIS 管理程序，并为所有管理程序，并为所有的站点分配一个主机头名，这样每一台虚拟服务器都有一个带有的站点分配一个主机头名，这样每一台虚拟服务器都有一个带有IP地址的主机头名。如下图：地址的主机头名。如下图：安全防护与入侵检测S然后，再创建一个新的网站指向刚才创建的目录。这个蜜罐网站应当指定所然后，再创建一个新的网站指向刚才创建的目录。这个蜜罐网站应当指定所有未分配的有未分配的IP地址，并且不能配置主机的头信息（虽然这个站点的名称叫地址，并且不能配置主机的头信息（虽然这个站点的名称叫“honeypot”，但这并不影响黑客对它的

35、访问。）。进入这个新网站的属性，但这并不影响黑客对它的访问。）。进入这个新网站的属性设置界面，选择设置界面，选择“目录安全目录安全”选项卡，并选中选项卡，并选中“集成集成windows身份验证身份验证”，取消选择其它的认证方法，然后单击取消选择其它的认证方法，然后单击“确定确定”。如下图：。如下图：安全防护与入侵检测S 接着，选择网站选项卡，并单接着，选择网站选项卡，并单击击“高级高级”，单击，单击“多网站配置多网站配置”下的下的”添加添加”按钮，并添加所有的按钮，并添加所有的IP地址。（如果你收到了一个关于地址。（如果你收到了一个关于IP地址冲突的错误消息，不要紧，地址冲突的错误消息，不要紧

36、，这表明你没有为此网站设置主机头这表明你没有为此网站设置主机头名。你需要做的是将名。你需要做的是将IP地址从列表地址从列表中清除，或为此网站配置一个主机中清除，或为此网站配置一个主机头名。）如图所示：头名。）如图所示：最后，保存所有的更改，然最后，保存所有的更改，然后退出后退出Internet信息服务。信息服务。安全防护与入侵检测S这样设置完后，当一个恶意用户通过这样设置完后，当一个恶意用户通过IP地地址来访问网站时，他就会被发送至空目录，址来访问网站时，他就会被发送至空目录，并得到一个并得到一个403错误。错误。而通过而通过DNS域名来访问网站的用户由于有域名来访问网站的用户由于有了主机的头信息，就能够访问网站的内容。了主机的头信息，就能够访问网站的内容。安全防护与入侵检测S