前面已经提到该攻击——远程文件包含已经被蜜罐识别出来，进一步我们首先要知道远程文件包含想要做哪些事，这类攻击实际上是想让一个恶意脚本在远程主机运行并获取相关的数据，所以当远程文件包含攻击发生时，获取到相关的脚本（必要时进行Base64 Decode处理），然后使用漏洞模拟器（函数）扫描脚本中的每一行，如果存在echo函数调用，对echo函数中的每一个变量进行替换并给出模拟值。例如，包含的文件中含有：

　　<?php
　　$un = @php_uname();
　　$up = system(uptime);
　　echo "uname -a: $un<br>";
　　echo "uptime: $up<br>";
　　?>

　　那么Glastopf会替换@php_uname()变量的值，这样当攻击者请求远程文件的内容时会得到如下模拟值：

　　uname -a: GNU/Linux","Linux my.leetserver.com 2.6.18-6-k7<br>
　　uptime: 19:42:43 up 3 days, 22:39, 1 user, load average: 0.9, 0.2 0.1
　　<br>

　　这样就模拟了一次与攻击者的交互。完成交互后，存储相关的攻击文件，最后把攻击事件记录到日志中，同时将漏洞关键字存储到Dorklist中。

　　分布式部署

　　由于单独部署一个蜜罐所获取到的数据具有一定局限性，如果将在分布式部署的Glastopf蜜罐节点的数据都收集起来，那么汇聚数据将能够更好的反映目前Web应用攻击现状。Glastopf支持分布式部署，每个部署节点都能通过内置的数据提交模块向核心数据库提交数据。核心数据库上面会用一个Python脚本对各个节点提交的数据进行接收，同时，数据汇集到数据库后，将通过几个分析模块进一步分析，包括对攻击源IP的定位等。

　　Glastopf蜜罐捕获数据统计和样本分析

　　清华大学网络与信息安全实验室自6月25日部署了Glastopf蜜罐，同时我们配置的域名***.***.edu.cn被Bing、Google等搜索引擎检索之后，截至到2011年10月31日，捕获了来自894个不同源IP地址的Web攻击4000多次，捕获到各种攻击文件样本426个。我们对这些攻击数据按照时间、地理位置等进行了统计，然后对某些典型的攻击样本进行了详细的分析。

　　数据统计

　　我们进一步结合GeoIP定位库对这些攻击源IP地址所在的国家进行查询和统计，图3给出了我们部署蜜罐所捕获Web攻击源IP数量排名前15的国家列表，前三位为美国、中国和法国。图4则给出了针对每个攻击源IP地址在部署期间捕获的发起攻击次数、攻击文件样本数及不同样本数的概率累积分布图（CDF），从图中可以看到目前绝大多数源IP对蜜罐发起的攻击数量均集中在10次以内。图5显示了十月份蜜罐每日捕获的攻击次数，区间为31次到280次，平均每日捕获106次攻击。

图3 Glastopf采集的攻击来源前15名的国家

图4 攻击概率累积分布图（CDF）

图5 十月份每日蜜罐捕获Web攻击次数

　　（数据采集时间2011年6月25日至10月30日，国家名和IP通过geoip[8]数据库进行查询并统计，IP地址根据直接攻击IP统计）

　　(数据采集时间2011年6月25日至10月30日,横坐标为一个IP发起的攻击数量、攻击的文件数和不同的攻击文件数，纵坐标为攻击IP数量占整体IP数量的比例)