蜜罐诱骗的基础知识讲解(5)

Exit

第二种情况的陷阱设置

在很多情况下，黑客会通过su命令转换成root身份，因此，必须在此设置陷阱。当黑客使用su命令，并输入正确的root口令时，也应该报错，以此来迷惑它，使它误认为口令错误，从而放弃入侵企图。这种陷阱的设置也很简单，你可以在系统的/etc/profile文件中设置一个alias，把su命令重新定义成转到普通用户的情况就可以了，例如alias su=”su user1”。这样，当使用su时，系统判断的是user1的口令，而不是root的口令，当然不能匹配。即使输入su root也是错误的，也就是说，从此屏蔽了转向root用户的可能性。

第三种情况的陷阱设置

如果前两种设置都失效了，黑客已经成功登录，就必须启用登录成功的陷阱。一旦root用户登录，就可以启动一个计时器，正常的root登录就能停止计时，而非法入侵者因不知道何处有计时器，就无法停止计时，等到一个规定的时间到，就意味着有黑客入侵，需要触发必要的控制程序，如关机处理等，以免造成损害，等待系统管理员进行善后处理。陷阱程序如下：

# .testfile

times=0

while [ $times –le 30 ] do

sleep 1

times=$[times + 1]

done

halt /* 30秒时间到，触发入侵检测与预警控制 */

将该程序放入root .bashrc中后台执行：

# root . bashrc

….

Sh .testfile&

该程序不能用Ctrl-C终止，系统管理员可用jobs命令检查到，然后用kill %n将它停止。

从上述三种陷阱的设置，我们可以看到一个一般的规律：改变正常的运行状态，设置虚假信息，使入侵者落入陷阱，从而触发入侵检测与预警控制程序。

8.关键技术设计

自蜜罐概念诞生之日起，相关技术一直在长足的发展。到今天为止，蜜罐技术应用的最高度应该说是Honeynet技术的实现。

9.总结