VNet虚拟蜜网构建实验.docx
- 文档编号:10983442
- 上传时间:2023-02-24
- 格式:DOCX
- 页数:27
- 大小:1.05MB
VNet虚拟蜜网构建实验.docx
《VNet虚拟蜜网构建实验.docx》由会员分享,可在线阅读,更多相关《VNet虚拟蜜网构建实验.docx(27页珍藏版)》请在冰豆网上搜索。
VNet虚拟蜜网构建实验
实验五、虚拟蜜罐分析与实践
一、实验目的
熟悉网络攻防的基本原理,掌握基于虚拟机环境的网络攻防平台的搭建方法,掌握利用该攻防平台进行基本网络安全管理的使用方法。
二、实验环境
1)宿主主机:
操作系统:
Win2K/WinXP;
VMwareWorkstation7。
2)提供相关软件:
蜜网网关虚拟机:
RooHoneywallCDROMv1.4;
靶机镜像:
Win2003server,Sebek客户端软件。
漏洞扫描软件:
流光Fluxay
三、实验原理
1)虚拟蜜网规划图
图1虚拟蜜网网络拓扑结构
2)构建虚拟蜜网,包括:
VMware网络环境配置;
安装靶机虚拟机;
安装蜜网网关虚拟机;
配置蜜网网关虚拟机;
测试蜜网网关的远程管理;
测试虚拟机蜜罐和攻击机主机之间的网络连接。
3)漏洞扫描测试,包括:
虚拟机蜜罐上安装Sebek客户端;
漏洞扫描测试。
4)渗透攻击测试,包括;
宿主主机安装Metasploit渗透攻击工具;
渗透攻击测试。
四、实验过程与测试数据
4.1以默认方式安装VMwareWorkstation
4.2安装蜜网网关虚拟机
1.File-->New-->Virtualmachine,新建虚拟机,选择Custom安装
图1选择Custom安装
2.设置VMwareWorkstation版本
图表2设置VMwareWorkstation版本为6.5-7.0
3.设置CDROM为蜜网网关Roov1.4软件ISO
图3设置CDROM为蜜网网关Roov1.4软件ISO
4.设置蜜网网关虚拟机命名与路径(指定一个明确的路径Location)
图表4设置蜜网网关虚拟机命名与路径
5.设置蜜网网关虚拟硬件
图5设置虚拟CPU,选择单处理器
图6设置蜜网网关虚拟机内存大小,建议256M
图7设置网络连接方式,选择NAT模式,后面需另加两个网卡
图8设置虚拟硬盘接口类型,SCSI接口选择为LSILogic
图9创建虚拟硬盘
图10设置虚拟硬盘为SCSI硬盘
图11设置虚拟硬盘大小为8G,无需立即分配全部空间
图12指定虚拟硬盘文件的绝对路径,注意必须给出全绝对路径,不要出现中文字符
6.添加两块网卡
点击下图中CustomizeHardware
图13显示配置
点击下图中add按钮,按照提示步骤添加两块网卡,其中Ethernet2设为Host-only,Ethernet3
设为NAT,添加后如图26所示
图14Hardware配置
图15添加两块网卡之后的配置
7.安装蜜网网关软件
启动蜜网网关虚拟机,进入如下安装界面。
图16安装蜜网网关软件,键入回车键确认开始安装
图17蜜网网关软件安装过程
图18蜜网网关软件安装完毕,进入登录界面
4.3配置蜜网网关虚拟机
1.登录蜜网网关
以roo/honey缺省用户/口令登录,使用su-提升到root帐号,缺省口令也为honey
图19登录蜜网网关
2.蜜网网关初始配置
图20蜜网网关初始配置界面
如未进入此初始配置界面,则在shell中执行
图21蜜网网关配置菜单选项界面,选择4HoneywallConfiguration进行配置
图22对TheHoneynetProject的不承担风险声明选择Yes
图23选择Defaults配置方式
接下来会rebuid,稍等片刻
3.蜜罐信息配置
命令行menu进入蜜网网关配置界面,选择4HoneyWallConfiguration
选择1ModeandIPInformation
选择2HoneypotIPAddress
图24蜜罐IP信息配置,空格分隔多个IP地址,注:
目前Roo尚不支持蜜网网络中具有不同网段的蜜罐IP地址
选择5LANBroadcastAddres人
图25蜜网网段的广播IP地址
选择6LANCIDRPrefix
图26蜜网网段配置,CIDR格式
4.蜜网网关管理配置
蜜网网关配置主界面,选择4HoneyWallConfiguration
选择2RemoteManagement
选择1ManagementIPAddress
图27设置管理口的IP地址
选择2ManagementNetmask
选择3ManagementGateway
图32管理口IP地址的掩码
图33管理口的网关
选择7Manager,设置可以管理蜜网网关的远程控制端IP范围,以CIDR格式填写,可有多个IP网段,中间用空格分隔
图33蜜网网关管理网段
5.Sebek服务器端配置
蜜网网关配置主界面,选择4HoneyWallConfiguration
选择11Sebek
图34Sebek服务器端IP地址,设置为管理口IP
目标端口选择为1101,Sebek数据包处理选项选择为Drop
4.4测试蜜网网关的远程管理
Honeywall上的防火墙设置不允许icmp协议访问管理口,同时会设置允许访问ssh和https的管理网段。
下面测试https的远程管理
1测试walleye远程访问
结果如下
图35远程连接Walleye
出现一个修改密码的界面,按要求修改密码之后,进入如下界面
图36Walleye远程管理界面
4.5安装靶机虚拟机
配置靶机虚拟机的硬件
鼠标选择Win2003的选项卡,菜单中选择VM-->Settings,Hardware选项卡中选择点击Memory,在右侧设置合适大小(注意这项在虚拟机开启时不可设置,可先将该虚拟机poweroff,设置好之后,再poweron)
图37靶机虚拟机的虚拟内存设置
图38靶机虚拟机联网方式设置为Host-Only
4.配置靶机虚拟机的ip和网关
配置如下
图39配置靶机虚拟机的ip和网关
4.6测试虚拟机蜜罐和攻击机主机之间的网络连接
在攻击机主机上ping虚拟机蜜罐IP
图40测试攻击机虚拟机到蜜罐虚拟机的连通性
在虚拟机蜜罐上ping攻击机虚拟机IP
图41测试蜜罐虚拟机到攻击机虚拟机的连通性
在蜜网网关上监听ICMPping包是否通过外网口和内网口,注意,以下命令必须得在root
权限下操作:
图42攻击机ping靶机的时候,tcpdump-ieth0icmp
图43攻击机ping靶机的时候,tcpdump-ieth1icmp
通过测试后,说明虚拟机蜜罐和外部网络之间的网络连接(通过蜜网网关eth0和eth1所构成的网桥)没有问题。
4.7虚拟机蜜罐上安装Sebek客户端
1.在Win32虚拟机蜜罐上安装Sebek客户端
将Sebek-Win32-3.0.4.zip或Sebek-Win32-latest.zip()通过网络共享拷贝到虚拟机蜜罐中,解压后执行Setup.exe进行安装。
图44安装SebekWin32系统监控软件
2.在蜜网网关虚拟机上执行ifconfigeth2,得到管理口eth2的MAC地址,填入下图所示的Sebek服务器端配置对话框。
图45配置SebekWin32系统监控软件
随机生成或填写MagicNumber,需保证同一蜜网中每台蜜罐主机上均安装Sebek,且
Sebek使用的MagicNumber保持一致,使得Sebek的上传通讯在蜜网中对攻击者隐蔽(即
使攻击者获取了蜜罐主机的控制权,并启用网络监听器进行监听))。
重新启动主机,建立
snapshot。
4.9漏洞扫描测试
在攻击机虚拟机上用流光扫描蜜罐虚拟机
图46流光对虚拟机蜜罐进行扫描测试
注:
由于目前SebekClientforWin32版本的稳定性较差,大规模的扫描和渗透测试很可能会造成Sebek的崩溃从而引发BSOD(BlueScreenofDeath)。
图47虚拟机蜜罐蓝屏
图48蜜网网关捕获的漏洞扫描过程的摘要视图
在蜜网网关上流光对漏洞扫描过程中的每个网络连接都进行了完备的记录,从图49蜜网网关数据摘要视图可发现正在扫描的192.168.92.15攻击机IP,图56则显示了其扫描的每个网络连接详细信息。
图49扫描网络连接视图
4.10渗透攻击实验
(1)攻击的工具我们使用了Metasploit的工具包,在这个地址可以下载到。
/projects/Framework/downloads.html
(2)输入命令./msfconsole,进入Metasploit的命令行:
图表4.10MS05-039漏洞攻击过程1
图表4.10MS05-039漏洞攻击过程2
图表4.10MS05-039漏洞攻击过程3
(3)对蜜网网关记录的攻击数据进行分析,验证蜜网的攻击数据捕获和分析功能,如下面的图所示。
图表3蜜网网关对渗透攻击测试的摘要视图
图表4向蜜罐主机发起的向内链接视图
图表5向外发起的反向Shell连接
图表6反向Shell连接对应的详细进程视图(难点)
图表7键击记录
图表8反向Shell连接原始数据包流重组结果
五、实验分析
在实验过程中遇到了许多问题,参考了我国著名的狩猎女神项目技术报告《基于Vmwareworkstation的虚拟Honeynet》还有其他的相关实验博客。
(1)搭建蜜网环境
在搭建蜜网环境时,选择操作系统的和蜜网虚拟机是很重要的。
我选择了VMwareWorkstation的蜜网实现方式。
在建立蜜罐网关虚拟机时,要注意虚拟硬盘接口类型,SCSI接口选择LSILogic,与实验参考书不一样。
还有就是虚拟硬盘的绝对路径不允许出现中文字符。
虚拟蜜罐主机是靶机,它的ip地址设置也需要仔细,由于参加实验的同学众多,不能有重复的ip地址和相同的网络字段。
(2)漏洞扫描实验
漏洞扫描中,实验参考给的Xsccan扫描软件扫描没有结果,换用了流光漏洞扫描软件。
扫描网络连接视图需要仔细分析才能找出。
(3)渗透攻击实验
这部分实验实验的难点在于登录不了Walleye远程访问,不太稳定,造成大部分同学在这实验失败。
若说还有一难点就是在于反向Shell连接对应的方向详细进程视图,在walleye查看进程树Process_Tree时,进程树的图片无法显示,发现原因和解决办法。
首先在honeywall中找到Process_tree.pm文件,将该文件第224行
printDOT"size=\"1024,768\";\n";
改为printDOT"size=\"20,20\";\n";vi强制保存退出:
x!
。
六、实验体会
这个实验有一定的难度,最大的难点就是虚拟蜜罐网关难以远程访问walleye以及虚拟蜜罐的ip地址设置。
通过实验的收获还是很大的,弄懂了虚拟蜜网的搭建,漏洞检查,渗透测试,加强了对蜜网的了解。
通俗的说蜜罐就是一块假的肥肉,攻击者往往发现了这件肥肉,就从而忽视了真正的主机,这就是蜜网的原理。
但随着黑客技术的进步,发现蜜罐陷阱也越来越容易,所以还是不能掉以轻心。
网络安全的防护是未来的重点,我们应该注重。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VNet 虚拟 构建 实验