【正文】 企圖。 蜜罐的應(yīng)用實(shí)例 這樣設(shè)置完后，當(dāng)一個(gè)惡意用戶通過(guò) IP地址來(lái)訪問(wèn)網(wǎng)站時(shí)，他就會(huì)被發(fā)送至空目錄，并得到一個(gè) 403錯(cuò)誤。其名稱與位置沒(méi)有什么關(guān)系，對(duì)于本例而言，我們創(chuàng)建了一個(gè)稱為 Honeypot的目錄，它位于 C:\Ipub\root的目錄下。 蜜 罐 系 統(tǒng) 蜜 罐 系 統(tǒng) 蜜罐概述 蜜罐及蜜網(wǎng)技術(shù)是一種捕獲和分析惡意代碼及黑客攻擊活動(dòng)，從而達(dá)到了解對(duì)手目的的技術(shù)。 流量統(tǒng)計(jì)功能 對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)顯示和統(tǒng)計(jì)分析，幫助用戶有效的發(fā)現(xiàn)網(wǎng)絡(luò)資源濫用、蠕蟲、拒絕服務(wù)攻擊，確保用戶網(wǎng)絡(luò)正常使用。 入侵檢測(cè)系統(tǒng) —— BlackICE BlackICE提供了一個(gè)簡(jiǎn)單的防火墻設(shè)置界面，通過(guò)選擇“ Tools”菜單中的“ Advanced Firewall Settings”，就可以對(duì) TCP/UDP端口或 IP地址進(jìn)行禁止或允許等訪問(wèn)規(guī)則的配置。如果傳感器放的位置不正確，入侵檢測(cè)系統(tǒng)也無(wú)法工作在最佳狀態(tài)，一般可以采取以下 4個(gè)選擇： ? 放在邊界防火墻之內(nèi) ，傳感器可以發(fā)現(xiàn)所有來(lái)自Inter 的攻擊，然而如果攻擊類型是 TCP攻擊，而防火墻或過(guò)濾路由器能封鎖這種攻擊，那么入侵檢測(cè)系統(tǒng)可能就檢測(cè)不到這種攻擊的發(fā)生。 Sniffer Pro報(bào)文的捕獲與解析 Sniffer Pro是一款比較完備的網(wǎng)絡(luò)管理工具，可以用來(lái)捕獲流量。 安全防護(hù)與入侵檢測(cè) Sniffer Pro網(wǎng)絡(luò)管理與監(jiān)視 入侵檢測(cè)系統(tǒng) 蜜 罐 系 統(tǒng) Sniffer Pro網(wǎng)絡(luò)管理與監(jiān)視 Sniffer Pro的功能 Sniffer Pro支持各種平臺(tái)（ Windows XP/ 2022/NT/ME/9X/2022），性能優(yōu)越，是可視化的網(wǎng)絡(luò)分析軟件，主要功能有以下幾點(diǎn)。 Sniffer Pro的登錄與界面 2． Sniffer Pro的界面 地址本： 保存節(jié)點(diǎn)的地址信息，便于管理和分析網(wǎng)絡(luò)狀況。入侵檢測(cè)系統(tǒng)的位置主要是傳感器的部署位置。修改以上安全級(jí)別，可以通過(guò)“ Tools”菜單中的“ Edit BlackICE Settings”，選擇“ Firewall”來(lái)進(jìn)行。同時(shí)對(duì)網(wǎng)絡(luò)中的敏感行為進(jìn)行審計(jì)。 ? 應(yīng)用入侵防護(hù)（ AIP），是將基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)信息安全設(shè)備。 蜜罐的應(yīng)用實(shí)例 首先，就是要在 Web服務(wù)器上建立一個(gè)空的目錄。 而通過(guò) DNS域名來(lái)訪問(wèn)網(wǎng)站的用戶由于有了主機(jī)的頭信息，就能夠訪問(wèn)網(wǎng)站的內(nèi)容。另外，網(wǎng)站的終端用戶會(huì)使用域名來(lái)訪問(wèn)站點(diǎn)。 入侵防護(hù)技術(shù) IPS 入侵防護(hù)技術(shù)（ IPS）是一種主動(dòng)的、積極的入侵防范及阻止系統(tǒng)，是建立在入侵檢測(cè)系統(tǒng)（ IDS）基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。 流量統(tǒng)計(jì)功能 對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)顯示和統(tǒng)計(jì)分析，幫助用戶有效的發(fā)現(xiàn)網(wǎng)絡(luò)資源濫用、蠕蟲、拒絕服務(wù)攻擊，確保用戶網(wǎng)絡(luò)正常使用。 BlackICE軟件最具特色的地方是內(nèi)置了應(yīng)用層的入侵檢測(cè)功能，并且能夠與自身的防火墻進(jìn)行聯(lián)動(dòng)，可以自動(dòng)阻斷各種已知的網(wǎng)絡(luò)攻擊行為。 入侵檢測(cè)系統(tǒng)的分類 入侵檢測(cè)系統(tǒng)的部署 一般入侵檢測(cè)產(chǎn)品都由傳感器和控制臺(tái)兩個(gè)部分組成。 Sniffer Pro的登錄與界面 2． Sniffer Pro的界面 協(xié)議分布： 收集網(wǎng)絡(luò)上所有可見的協(xié)議，查看協(xié)議分布情況。 ? 利用專家分析系統(tǒng)進(jìn)行故障診斷。 入侵檢測(cè)技術(shù)是用來(lái)發(fā)現(xiàn)內(nèi)部攻擊、外部攻擊和誤操作的一種方法。 ? 放在一些安全級(jí)別需求高的子網(wǎng)中 ，對(duì)非常重要的系統(tǒng)和資源的入侵檢測(cè)，比如一個(gè)公司的財(cái)務(wù)部門，這個(gè)網(wǎng)段安全級(jí)別需求非常高，因此可以對(duì)財(cái)務(wù)部門單獨(dú)放置一個(gè)檢測(cè)器系統(tǒng)?！?Events”顯示BlackICE所發(fā)現(xiàn)的全部入侵或訪問(wèn)事件。 TCP狀態(tài)跟蹤及流重組 通過(guò)對(duì) TCP協(xié)議狀態(tài)的跟蹤，能夠完全避免因單包匹配造成的誤報(bào)。 （ 1）按