企业局域网部署完成一旦上线就要面临严峻考验，其中来自内部、外部的威胁是最让管理员们头痛的。为此，很多管理员软硬结合构建防御体系，但是不管它如何坚固都显得有些被动。实战中，往往是当局域网被攻陷后，我们甚至还不知道对手是谁，对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。“知己知彼，百战不殆”，IT人员只有在掌握了攻击者采用的攻击技术，攻击心理及习惯等后，才能更有效地维护网络安全，进而抓捕攻击者。笔者根据以往的实践经验认为，利用蜜罐工具构筑蜜罐系统，设置陷阱诱攻击者入瓮是一个不错的方案。本文将在测试环境中，模拟利用两款蜜罐工具布防和诱捕攻击的过程。

　　模拟环境：

　　虚拟机A IP:192.168.1.10 (蜜罐系统)

　　虚拟机B IP:192.168.1.6 (攻击主机)

　　一、打造蜜罐，反击攻击者

　　1、软件介绍

　　“Defnet HoneyPot 2004”是一个著名的“蜜罐”虚拟系统，它会虚拟一台有“缺陷”的电脑，等着恶意攻击者上钩。这种通过Defnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱只能套住恶意攻击者，看看他都执行了那些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。

　　2、下套诱捕

　　Defnet HoneyPot是一款绿色软件，后直接使用，不用安装，其设置非常简单，迷惑性、仿真性不其它蜜罐强多了。

　　(1).设置虚拟系统

　　运行Defnet HoneyPot，在Defnet HoneyPot的程序主界面右侧，点击“HoneyPot”按钮，弹出设置对话框，在设置对话框中，可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。　

　　图1

[1]