第18个实验 蜜罐的使用(网络攻防教程) .pdfVIP

实验十八蜜罐的使用

【实验目的】

监视系统是否有人入侵或者扫描你的计算机，监视方式是通过监视端口的方式。

【实验环境】

系统环境：Windows2003Server及以上操作系统

软件工具：HoneyPot.exe

【实验内容】

1.config.ini:

2.打开config.ini.有三个字段,ShowWindow,sound,port.

3.

4.ShowWindow表示运行时是否显示程序.1表示显示(默认是1),0表

示隐藏.

5.Sound表示发现目标入侵时是否声音提示，1表示有声音，0表示

没有声音。

6.port表示要监听的端口，格式port1-port2-port3portn-(注意后

面一定要有个-)否则最后一个端口可能监听不到

7.注意设置的端口不能与系统的端口冲突。例如。你的系统已经开

启了135,139端口，则本工具不能监听这两个端口。

8.如果不知道自己的机开了哪些端口，请先扫描一下。以避免冲突。

9.2.Message.ini

10.打开Message.ini

11.里面是一些文字，这些文字在目标连接本机时会发送给对方。

12.log.log这是日志记录文件，所有的入侵记录都会记录在这里

例子:

1.保持两个文件默认设置，双击HoneyPot.exe运行程序。

2.

3.打开运行-输入cmd-确定

4.

5.出现命令提示符窗口

6.

7.输入telnet127.0.0.16689连接本机(为避免冲突，这里用了比

较奇怪的端口，具体端口大家可以

8.修改config.ini的Port字段.)

9.

10.按回车后可以看到出现这句话Haha!Youaregettingintoa

HoneyPotSystem!by系紧要这句话在Message.ini里面

11.可以自行修改。

12.3.听到声音后是否吓你一跳?呵呵。不用怕。那是系统报警了，

说明有人尝试入侵你的机子，当然现在是你自己在尝试入侵你

13.自己。声音提示可以修改config.ini的Sound字段，上面已经

介绍过了。

14.现在回到HoneyPot的界面。会看到有入侵信息提示。包括对

方IP，入侵时间。

15.

16.现在关闭telnet的端口，再看HoneyPot提示目标已经断开连

接，和断开的时间。

17.

18.打开log.log可以看到文件记录了这次入侵的记录.

19.

20.总结；

21.这是我总结的这个工具可以用来做的事。

22.1.关闭系统的21,23,135,139,445,3389,4489等常用端口。然后

在config.ini中设置监听这几个端口。这样当别人尝试连接

23.这几个端口时就会收到你设置的消息。

24.2.你可以在message.ini里设置各种消息来和对方玩。例如。

哈哈,这么菜,还想入侵我的机，你的机已经被入侵,By系紧要,

25.3.你可以根据对方的连接时间和断开时间来判断对方是在扫

描你的机还是在尝试入侵你的机。

26.例如，同一个目标在1分钟内，尝试连接了你的135,139,3389

等端口。那他很有可能是在尝试对你的机进行入侵。

27.如果，一个目标在1分钟内只连接了你的3389端口并且1秒

钟内就断开了，那么他很有可能是在大量扫扫描3389端口，

只是你的机也在他扫描的范围内而已。

28.如果，一个目标在连接你的一个端口，并且连接超过30秒那

么他很有可能是在对你的这个端口进行弱口令扫描或者进行

口令猜解。

29.

30.以上只是我总结的作用，更多用处大家根据需要，来利用，一

般如果是用来监视的，就根据时间来判断，要是用来和对方玩

的就在

31.Message.ini上下功夫。

32.对了，还有如果Message.ini为空的话，即是什么也没有写，

我默认设置了一个模拟tenelt来响应对方消息的东西。不

过，做得不好，

33.建议还是自己设定的好。

34.

35.我没有自动把工具加入启动项里(为避免大家把这当成流氓软

件，)

36