1、基于Honeynet的网络预警的研究与实现基于Honeynet的网络预警的研究与实现第一部分 Win32下的Honeynet环境部署:使用的部分软硬件:VMwave 6.0ROO-CDROM 1.4windowsXP sp2100M单网卡2G内存Sebek 3.XX-sacn 3.3SecureCRT 5.1.3拓扑图为这个:1-1虚拟蜜网网关机(Honeywall)搭建与配置:下面是与狩猎女神中国项目组文档写得不一样,在Roo1.4和VM5.5以上版本中,磁盘适配器注意选择LSI SCSI模式,注意需要输入完整路径名:为网关虚拟机添加两块网卡,一块Host-only模式,一块桥接模式:因为宿
2、主机只有一块物理网卡,所以需要在一块网卡上绑定两个IP:载入ROO-CDROM的ISO文件,启动虚拟机后自动引导回车开始自动安装.安装完成后,进入系统:默认账号密码是roo / honey ,然后使用su - 指令提示权限,默认密码还是honey :设置蜜罐网络(honeypot IP Address)设置蜜罐网段(LAN CIDR Prefix ):设置蜜网网关:Honeywall configuration - Remote management 设置远程管理IP (Management IP):设置管理网段掩码:(Management netmask):设置管理网段网关:(Managem
3、ent gateway):Sebek配置:Honeywall configuration - Sebek:1-2蜜罐机(honeypot)的安装与配置.:1,正常步骤安装蜜罐虚拟机2,正常步骤安装系统,如XP, Linux3,将XP的IP的设置为192.168.1.1114,将Linux的IP设置成为192.168.1.110另外,宿主机上VM自动生成的两个连接,叫什么Vnet1和 Vnet8的,不用设置,本来怎样就怎样1-3关于数据的收集1,sebek安装与使用下载地址:https:/projects.honeynet.org/sebek/在蜜罐机winxp中安装sebek的客户端Sebek
4、-Win32-3.0.4利用共享文件夹将安装包拷进蜜罐机,执行setup.exe然后运行Configuration Wizard配置sebek客户端:注意:需要填写蜜网网关机Honeywall的Sebek通信口的mac地址,在本实验中为eth2,在honeywall中使用ifconfig eth2命令可获得可以使用ifconfig eth0 xxx.xxx.xxx.xxx指令给eth0和eth1口也配上Ip ,不配也没什么关系注意:下面的Magic号可以手动输入,可以自动生成,但是在所有蜜罐机上此号必须相同.1-3平台测试 然后可以用X-scan进行攻击测试了,顺便可以测试下Walleye和S
5、SH登陆管理接口是否工作正常:需要注意的是:(我就是卡在这个问题这里好久) ROO引进了一个新的格式处理工具Hflow,,将ebek 捕获到的结果、IDS 的报警信息、p0f 的系统识别结果、NIPS 的输出结果、Argus 的分析结果统一格式化处理,然后放入MySQL数据库。根据蜜网中国组的回信,得知Hflow进程可能会不稳定挂起,导致网络流数据无法解析进入mysql数据库。后果就是在walleye上看不到任何流量变化. 解决办法是在登陆honeywall后切换到root用户,运行/etc/rc.d/init.d/hflow restart 重启该服务开始测试:使用SecureCRT登陆到honeywall的管理口192.168.0.3登陆正常:使用X-scan扫描主机:使用https:/192.168.0.3登陆WEB管理界面Walleye:首次登陆后,系统会要求加固密码,必须达到以下要求:超过8位,数字,大小写字母,特殊符号全都要有。登陆正常,显示刚才的扫描攻击数据:
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1