设置IIS蜜罐抵御黑客攻击

据有关资料显示， 现在有大量的服务器仍在使用IIS提供Web服务， 甚至有争夺占领Apache市场的趋势。 在Web威胁日益严重的今天， 我们当然要采用反病毒、防火墙、UTM、NAC等手段来加强网络安全。 但是， 有时正确地建设一个蜜罐也是对付黑客的必需任务。

　　什么是蜜罐?简言之， 蜜罐就是一个位于互联网上的计算机系统， 其特定的目的是为了吸引并“诱捕”试图渗透进入其他人的计算机系统的黑客。 要建立一个真正的蜜罐， 用户需要做的事情很多， 但至少要求用户做到三条， 一是安装一个不打补丁的操作系统， 并且需要使用默认配置， 二是要保证系统上没有任何数据， 三是添加一个设计目的是记载入侵者活动的应用程序。

　　在IIS中配置蜜罐并不是一件件很复杂的事情， 但它却可有助于极大地减少对IIS服务器的攻击。 严格意义上讲， 本文所谈论的并非一个真正的蜜罐， 因为一个真正的蜜罐是一个拥有许多漏洞且故意暴露在互联网上的主机， 这里所讨论的只不过是一个数据通信的转向器而已。 使用HTTP主机的头信息， 我们完全可以将攻击者的通信转向一个并不存在的站点上。

　　黑客们会使用端口扫描器来查找那些开放着80号端口的IP地址， 并对这些端口实施其攻击和侵入的企图。 另外一方面， 网站的终端用户会使用域名来访问站点， 因此我们的措施并不会影响这些普通用户。 通过启用网站上的主机头名并将IP企图重新转向， 我们就可以跟踪和记录黑客来自何方， 同时又保持了对终端用户的可用性。

　　理论上的事儿先说到这里， 下面我们开始建立一个蜜罐。

　　我们需要做的第一件事情就是要在Web服务器上建立一个空的目录。 其名称与位置没有什么关系， 对于本例而言， 笔者创建了一个称为Honeypot的目录， 它位于C：\Inetpub\wwwroot的目录下。 启动IIS 管理程序， 并为所有的站点分配一个主机头名， 这样每一台虚拟服务器都有一个带有IP地址的主机头名。 如下图1：

　　这里要保证虚拟服务器不能与无主机头名的80号端口上的IP地址有映射关系， 并保证服务器不能拥有“全部未分配的” IP寻地址。 并保障主机的头信息正确设置， 用户仍可以访问所有的站点。 如图2：

　　然后， 再创建一个新的网站指向刚才创建的目录。 这个蜜罐网站应当指定所有未分配的IP地址， 并且不能配置主机的头信息。 虽然这个站点的名称叫“honeypot”， 但这并不影响黑客对它的访问。 进入这个新网站的属性设置界面， 选择“目录安全”选项卡， 并选中“集成windows身份验证”， 取消选择其它的认证方法， 然后单击“确定”。 图3：

　　接着， 选择网站选项卡， 并单击“高级”， 单击“多网站配置”下的“添加”按钮， 并添加所有的IP地址。 如果你收到了一个关于IP地址冲突的错误消息， 不要紧， 这表明你没有为此网站设置主机头名。 你需要做的是将IP地址从列表中清除， 或为此网站配置一个主机头名。 图4：

　　保存所有的更改， 然后退出Internet 信息服务。

　　这样一来， 当一个恶意用户通过IP地址来访问网站时， 他就会被发送至空目录， 并得到一个403错误。 而通过DNS域名来访问网站的用户由于有了主机的头信息， 就能够访问网站的内容。

　　这样做并不是绝对的安全， 因为黑客们仍会试图通过域名来访问网站， 不过其多数攻击都被发送到了IP地址。 使用主机的头信息会改善Web服务器的性能， 这是因为WWW服务没有必要为使用独立IP地址的网站分配非页式内在池。

　　还有一点， 一些较低版本的浏览器(不符合HTTP1.1规范的浏览器)将被直接转向空目录， 因为这种浏览器不接受主机头名。 不过， 现在这种浏览器几乎没有人用了吧?