网络攻防环境搭建.pdf

1、课程2讲义：基于第三代蜜网的VNet网络攻防实验环境构建 The Artemis Project/狩猎女神项目组 诸葛建伟 一、先决条件 在阅读本文前，请先阅读Know Your Enemy:Honeynets，Know Your Enemy:GenII Honeynets和Know Your Enemy：Honeywall CDROM Roo，对Honeynets的概念和第三代Honeynet(Roo)技术有个清晰的认识，并完全了解Roo的部署软/硬件要求。二、VMware软件介绍 VMware 软件是 VMware 公司（http:/ 软件版本主要有 VMware Player（免费）、V

2、Mware Workstation、VMware GSX Server（目前 license 免费）、VMware ESX Server等 版 本，本 文 档 基 于 最 普 遍 使 用 的VMware Workstation，具 体 版 本 为VMware-workstation-full-7.0.0-203739。运行在 VMware 虚拟机软件上操作系统的网络连接方式有三种：桥接方式（Bridge）：在桥接方式下，VMware 模拟一个虚拟的网卡给客户系统，主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。图 1

3、 VMware 支持的桥接连接方式示意图 网络地址转换方式（NAT）：在这种方式下，客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下，客户系统对于外部不可见。图 2 VMware 支持的 NAT 连接方式示意图 主机方式（Host-Only）：在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络。在这种方式下，如果主系统是用公网 IP 连接Internet，那客户系统只能用私有 IP。但是如果我们另外安装一个系统通过桥接方式连接 Internet（这时这个系统成为一个桥接器），则我们可以设置这些客户系统的IP 为公

4、网 IP，直接从这个虚拟的桥接器连接 Internet，下面将会看到，我们正是通过这种方式来搭建我们的虚拟蜜网。图 3 VMware 支持的 host-only 连接方式示意图 三、网络拓扑及软硬件需求 3.1 网络拓扑网络拓扑 图 4 虚拟蜜网网络拓扑结构 3.2 软硬件需求软硬件需求 基于Win32平台构建虚拟蜜网的硬件配置建议如下：至少 P4 CPU，建议 2.0G Hz 以上 至少 1G 内存，建议 2G 以上 至少 20G 硬盘，建议 40G 以上 软件配置包括：宿主主机：操作系统：Win2K/WinXP，本文档基于 Windows XP SP2 VMware Workstation

5、 for Win32，本文档使用VMware-workstation-full-7.0.0-203739 蜜网网关虚拟机：Roo Honeywall CDROM v1.4 攻击机和靶机的镜像见课程 2 slides，本文档采用如下：WinXPattacker 作为攻击机 Win2kServer_SP0_target 作为靶机 注：为安全起见，请将宿主主机上的网线拔掉，开始进行下述四、五中的实验。四、虚拟蜜网的构建 4.1 VMware 软件安装与配置软件安装与配置 默认方式安装 VMware Workstation 软件全过程。图 5 安装完 VMware Workstation 4.2 VM

6、ware网络环境配置网络环境配置 在 VMware 中 Edit-Virtual Network Editor,选择 VMnet1，设置如下 图 6 VMnet1 的设置 选择 VMnet8，设置如下 图 7 VMnet8 的设置 点击图 7 中的 NAT Settings，设置如下：图 8 VMnet8 中 NAT 的设置 点击图 7 中的 DHCP Settings，设置如下：（注意：为了留一些 IP 给靶机，在这里 End IP address 没有设为 192.168.200.126）图 9 VMnet8 中 DHCP 的设置 4.3 安装攻击机虚拟机安装攻击机虚拟机 1.从课程 ft

7、p 上下载并解压 WinXPattacker 的 rar 镜像到某一目录 2.File-Open，选择你的解压目录，选择相应 vmx 文件 3配置攻击机虚拟机的硬件 鼠标选择 WinXPattacker 的选项卡，菜单中选择 VM-Settings，Hardware 选项卡中选择点击 Memory，在右侧设置合适大小（注意这项在虚拟机开启时不可设置，可先将该虚拟机power off，设置好之后，再 power on）图 10 攻击机虚拟机的虚拟内存设置 Hardware 选项卡中选择点击 Network Adaptor，在右侧设置为 NAT 图 11 攻击机虚拟机联网方式设置为 NAT 4.查

8、看攻击机虚拟机的 ip 图 12 DHCP 动态分配给攻击机虚拟机的 IP 地址为 192.168.200.2 4.4 安装安装靶机靶机虚拟机虚拟机 1.从课程 ftp 上下载并解压 Win2kServer_SP0_target 的 rar 镜像到某一目录 2.File-Open，选择你的解压目录，选择相应 vmx 文件 3配置靶机虚拟机的硬件 鼠标选择 Win2kServer_SP0_target 的选项卡，菜单中选择 VM-Settings，Hardware 选项卡中选择点击 Memory，在右侧设置合适大小（注意这项在虚拟机开启时不可设置，可先将该虚拟机 power off，设置好之后，

9、再 power on）图 13 靶机虚拟机的虚拟内存设置 图 14 靶机虚拟机联网方式设置为 Host-Only 4.配置靶机虚拟机的 ip 和网关 找一个在 192.168.200.0/25 网段的，且不在图 9 的 DHCP 分配范围的 ip，我们这里选择192.168.200.124，配置如下 图 15 配置靶机虚拟机的 ip 和网关 4.5 安装蜜网网关虚拟机安装蜜网网关虚拟机 1.File-New-Virtual machine，新建虚拟机，选择 Custom 安装 图 16 选择 Custom 安装 2.设置 VMware Workstation 版本 图 17 设置 VMware

10、 Workstation 版本为 6.5-7.0 3.设置 CDROM 为蜜网网关 Roo v1.4 软件 ISO 图 18 设置 CDROM 为蜜网网关 Roo v1.4 软件 ISO 4.设置蜜网网关虚拟机命名与路径 图 19 设置蜜网网关虚拟机命名与路径 5.设置蜜网网关虚拟硬件 图 20 设置虚拟 CPU，选择单处理器 图 21 设置蜜网网关虚拟机内存大小，建议 256M 图 22 设置网络连接方式，选择 NAT 模式，后面需另加两个网卡 图 23 设置虚拟硬盘接口类型，SCSI 接口选择为 LSI Logic 图 24 创建虚拟硬盘 图 25 设置虚拟硬盘为 SCSI 硬盘 图 26

11、 设置虚拟硬盘大小为 8G，无需立即分配全部空间 图 27 指定虚拟硬盘文件的绝对路径，注意必须给出全绝对路径，不要出现中文注意必须给出全绝对路径，不要出现中文字符字符 6.添加两块网卡 点击下图中 Customize Hardware 图 28 显示配置 点击下图中 add 按钮，按照提示步骤添加两块网卡，其中 Ethernet 2 设为 Host-only,Ethernet3设为 NAT，添加后如图 30 所示 图 29 Hardware 配置 图 30 添加两块网卡之后的配置 7.安装蜜网网关软件 启动蜜网网关虚拟机，进入如下安装界面。图 31 安装蜜网网关软件，键入回车键确认开始安装

12、图 32 蜜网网关软件安装过程 图 33 蜜网网关软件安装完毕，进入登录界面 4.6 配置配置蜜网网关虚拟机蜜网网关虚拟机 1.登录蜜网网关 以 roo/honey 缺省用户/口令登录，使用 su-提升到 root 帐号，缺省口令也为 honey 图 34 登录蜜网网关 2.蜜网网关初始配置 图 35 蜜网网关初始配置界面 如未进入此初始配置界面，则在 shell 中执行 图 36 蜜网网关配置菜单选项界面，选择 4 Honeywall Configuration 进行配置 图 37 对 The Honeynet Project 的不承担风险声明选择 Yes 图 38 选择 Defaults

13、配置方式 接下来会 rebuid，稍等片刻 3.蜜罐信息配置 命令行 menu 进入蜜网网关配置界面，选择 4 HoneyWall Configuration 选择 1 Mode and IP Information 选择 2 Honeypot IP Address 图 39 蜜罐 IP 信息配置，空格分隔多个 IP 地址，注：目前 Roo 尚不支持蜜网网络中具有不同网段的蜜罐 IP 地址 选择 5 LAN Broadcast Address 图 40 蜜网网段的广播 IP 地址 选择 6 LAN CIDR Prefix 图 41 蜜网网段配置，CIDR 格式 4.蜜网网关管理配置 蜜网网关配

14、置主界面，选择 4 HoneyWall Configuration 选择 2 Remote Management 选择 1 Management IP Address 图 42 设置管理口的 IP 地址 选择 2 Management Netmask 图 43 管理口 IP 地址的掩码 选择 3 Management Gateway 图 44 管理口的网关 选择 7 Manager，设置可以管理蜜网网关的远程控制端 IP 范围，以 CIDR 格式填写，可有多个 IP 网段，中间用空格分隔 图 45 蜜网网关管理网段 5.Sebek 服务器端配置 蜜网网关配置主界面，选择 4 HoneyWall

15、 Configuration 选择 11 Sebek 图 46 Sebek 服务器端 IP 地址，设置为管理口 IP 目标端口选择为 1101，Sebek 数据包处理选项选择为 Drop 4.7 测试蜜网网关的远程管理测试蜜网网关的远程管理 Honeywall 上的防火墙设置不允许 icmp 协议访问管理口 同时会设置允许访问 ssh 和 https 的管理网段。下面测试 https 的远程管理 1 测试 walleye 远程访问 在 192.168.200.2 这台虚拟机上访问 https:/192.168.200.8,结果如下 图 47 远程连接Walleye 出现一个修改密码的界面，按要

16、求修改密码之后，进入如下界面 图 48 Walleye 远程管理界面 4.8 测试虚拟机蜜罐和测试虚拟机蜜罐和攻击机攻击机主机之间的网络连接主机之间的网络连接 在攻击机主机上 ping 虚拟机蜜罐 IP 图 49 测试攻击机虚拟机到蜜罐虚拟机的连通性 在虚拟机蜜罐上 ping 攻击机虚拟机 IP 图 50 测试蜜罐虚拟机到攻击机虚拟机的连通性 在蜜网网关上监听 ICMP ping 包是否通过外网口和内网口，注意，以下命令必须得在 root权限下操作 图 51 攻击机 ping 靶机的时候，tcpdump-i eth0 icmp 图 52 攻击机 ping 靶机的时候，tcpdump-i eth1 icmp 图 53 靶机 ping 攻击机的时候，tcpdump-i eth0 icmp 图 54 靶机 ping 攻击机的时候，tcpdump-i eth1 icmp 通过测试后，说明虚拟机蜜罐和外部网络之间的网络连接（通过蜜网网关 eth0 和 eth1所构成的网桥）没有问题。五、攻击测试 5.1 虚拟机蜜罐虚拟机蜜罐上安装上安装 Sebek 客户端客户端 1.在 Win32 虚拟机蜜罐上