​在本教程中，我们将建立一个吸引黑客的系统，以便我们可以捕获或研究它们。
由于世界上几乎所有黑客都针对所有已知漏洞和漏洞瞄准Windows服务器，我们将设置一个Windows系统来做到这一点。
蜜罐是一种看起来很吸引黑客的计算机系统。
它看起来很重要，也很脆弱，足以让黑客试图入侵。
它被用来诱捕黑客，并作为安全社区研究黑客技术的一种方式。
作为一名黑客，重要的是要知道这些存在以及如果你陷入其中而承担的风险。
步骤1安装KFSensor市场上有许多蜜罐，例如honeynet，honeyd，Tiny Honeypot，NetBait和ManTrap等，但我们将使用商用蜜罐KFSensor 在Windows上安装。
KFSensor将使我们能够拥有一个托管它的真实Windows系统，我们可以使用我们的Kali Linux系统对其进行重新调整。
我们要在本教程中完成的一件事是确定检测蜜罐的方法，然后稳稳地运行。
让我们打开浏览器并导航到http://www.keyfocus.net/kfsensor/，然后下载并安装该软件。
这是一个为期30天的试用期，所以我们有一个月可以免费玩它。
安装完成后，右键单击KFSensor图标并“以管理员身份运行”。
你应该得到一个像这样的设置向导。
​​在向导中选择默认值后再进行下一步后，您将进入下面的选项卡，该选项卡允许您选择本机服务，好，我们选择所有。
​然后，选择您的域名。
默认是networksforu.com。
接下来，您可以选择要发送警报的电子邮件地址。
步骤2选择选项最后，我们有几个选项使用默认值，但请注意最终选项。
在这里，它允许我们捕获数据包，以便我们可以使用Wireshark或其他协议分析器等工具分析攻击。
但是，它会警告您，数据包捕获会占用大量磁盘空间; 如果你想抓住或研究黑客，那是必需的。
我们现在暂时禁用它。
​步骤3设置你的蜜罐和手表完成设置向导后，单击“ 完成”，您应该有一个如下所示的应用程序。
​步骤4使用Nmap进行扫描现在我们有了蜜罐设置，让我们采取黑客的方法。
就像我们正在对潜在目标进行侦察一样，让我们使用nmap来扫描该系统。
我们做一个SYN扫描：nmap -sS 192.168.1.102​我们发现有许多的端口打开。
很少有商业Web服务器会让所有这些端口都打开。
如果我们回到蜜罐，我们可以看到我们在紫色突出显示的区域中启动了端口扫描的警报。
请记住，SYN扫描不能完成三次握手，但大多数入侵检测系统会认为从一个IP快速连续发送的许多数据包都是“可能的端口扫描”。
这就是为什么通常建议使用nmap的内置速度控制来减慢扫描速度的原因之一。
步骤5使用Nikto扫描让我们在这里使用它来对付这个蜜罐。
./nikto.pl -h 192.168.1.102​​我们的结果告诉我们，此系统是Microsoft IIS 7服务器的默认安装。
另一个RED FLAG，这可能是蜜罐。
步骤6最后，让我们尝试Server抓取。
我们可以使用netcat连接到端口80，然后尝试抓取Web服务器Server（如果有）。
nc 192.168.1.102 80HEAD / HTTP / 1.0​正如您所看到的，我们能够抓住标识Web服务器的Server为Microsoft的IIS 7.5。
一些蜜罐的标志蜜罐没有单一的迹象，但是要记住的事情很少。
古老的格言，“如果真是太好了，它可能是真的”，也适用于黑客行为。
那些看似非常容易入侵的网站可能是陷阱。
寻找不寻常的服务和端口打开。
大多数面向互联网的系统都被剥夺了任何不必要的服务。
如果它有许多不寻常的服务和端口打开，这些都是为了吸引攻击者，它可能是一个蜜罐。
如果是默认安装，它可能是蜜罐。
如果很少或没有活动，它可能是蜜罐。
如果你看到很少安装的软件，它可能是一个蜜罐。
如果硬盘驱动器上有很多可用空间，它可能是蜜罐。
请记住，蜜罐意味着诱人，但它可能是一个陷阱。