設置IIS蜜罐抵御黑客攻擊

據有關資料顯示， 現在有大量的服務器仍在使用IIS提供Web服務， 甚至有爭奪占領Apache市場的趨勢。 在Web威脅日益嚴重的今天， 我們當然要采用反病毒、防火墻、UTM、NAC等手段來加強網絡安全。 但是， 有時正確地建設一個蜜罐也是對付黑客的必需任務。

　　什么是蜜罐?簡言之， 蜜罐就是一個位于互聯網上的計算機系統， 其特定的目的是為了吸引并“誘捕”試圖滲透進入其他人的計算機系統的黑客。 要建立一個真正的蜜罐， 用戶需要做的事情很多， 但至少要求用戶做到三條， 一是安裝一個不打補丁的操作系統， 并且需要使用默認配置， 二是要保證系統上沒有任何數據， 三是添加一個設計目的是記載入侵者活動的應用程序。

　　在IIS中配置蜜罐并不是一件件很復雜的事情， 但它卻可有助于極大地減少對IIS服務器的攻擊。 嚴格意義上講， 本文所談論的并非一個真正的蜜罐， 因為一個真正的蜜罐是一個擁有許多漏洞且故意暴露在互聯網上的主機， 這里所討論的只不過是一個數據通信的轉向器而已。 使用HTTP主機的頭信息， 我們完全可以將攻擊者的通信轉向一個并不存在的站點上。

　　黑客們會使用端口掃描器來查找那些開放著80號端口的IP地址， 并對這些端口實施其攻擊和侵入的企圖。 另外一方面， 網站的終端用戶會使用域名來訪問站點， 因此我們的措施并不會影響這些普通用戶。 通過啟用網站上的主機頭名并將IP企圖重新轉向， 我們就可以跟蹤和記錄黑客來自何方， 同時又保持了對終端用戶的可用性。

　　理論上的事兒先說到這里， 下面我們開始建立一個蜜罐。

　　我們需要做的第一件事情就是要在Web服務器上建立一個空的目錄。 其名稱與位置沒有什么關系， 對于本例而言， 筆者創建了一個稱為Honeypot的目錄， 它位于C：\Inetpub\wwwroot的目錄下。 啟動IIS 管理程序， 并為所有的站點分配一個主機頭名， 這樣每一臺虛擬服務器都有一個帶有IP地址的主機頭名。 如下圖1：

　　這里要保證虛擬服務器不能與無主機頭名的80號端口上的IP地址有映射關系， 并保證服務器不能擁有“全部未分配的” IP尋地址。 并保障主機的頭信息正確設置， 用戶仍可以訪問所有的站點。 如圖2：

　　然后， 再創建一個新的網站指向剛才創建的目錄。 這個蜜罐網站應當指定所有未分配的IP地址， 并且不能配置主機的頭信息。 雖然這個站點的名稱叫“honeypot”， 但這并不影響黑客對它的訪問。 進入這個新網站的屬性設置界面， 選擇“目錄安全”選項卡， 并選中“集成windows身份驗證”， 取消選擇其它的認證方法， 然后單擊“確定”。 圖3：

　　接著， 選擇網站選項卡， 并單擊“高級”， 單擊“多網站配置”下的“添加”按鈕， 并添加所有的IP地址。 如果你收到了一個關于IP地址沖突的錯誤消息， 不要緊， 這表明你沒有為此網站設置主機頭名。 你需要做的是將IP地址從列表中清除， 或為此網站配置一個主機頭名。 圖4：

　　保存所有的更改， 然后退出Internet 信息服務。

　　這樣一來， 當一個惡意用戶通過IP地址來訪問網站時， 他就會被發送至空目錄， 并得到一個403錯誤。 而通過DNS域名來訪問網站的用戶由于有了主機的頭信息， 就能夠訪問網站的內容。

　　這樣做并不是絕對的安全， 因為黑客們仍會試圖通過域名來訪問網站， 不過其多數攻擊都被發送到了IP地址。 使用主機的頭信息會改善Web服務器的性能， 這是因為WWW服務沒有必要為使用獨立IP地址的網站分配非頁式內在池。

　　還有一點， 一些較低版本的瀏覽器(不符合HTTP1.1規范的瀏覽器)將被直接轉向空目錄， 因為這種瀏覽器不接受主機頭名。 不過， 現在這種瀏覽器幾乎沒有人用了吧?