20241917
一、知识点梳理与总结
蜜罐、蜜网和蜜网网关的概念:
蜜罐:这是一种软件应用,作为入侵诱饵吸引黑客攻击。通过监控入侵行为,可以了解攻击手段、最新漏洞,并收集黑客工具和社交网络信息。
蜜网:当多个蜜罐被网络连接起来,模拟一个大型网络环境,用以吸引黑客攻击并观察入侵过程,评估安全措施的有效性。
蜜网网关:在第三代蜜网技术中,蜜网网关作为一个透明的攻击行为捕获与分析平台,结合 Sebek 软件在蜜罐主机上记录攻击行为。
蜜网网关在网络攻防环境中扮演着关键角色,其工作机制主要包括以下几个方面:
网桥功能:蜜网网关作为一个网桥,通过桥接模式将原有的局域网扩展,使得蜜罐系统内的蜜罐可以被同一局域网内的主机访问。
连接配置:蜜网网关需要安装三块网卡,第一块使用桥接模式用于外部访问蜜网;第二块使用仅主机模式建立蜜网;第三块也使用仅主机模式,用于访问蜜网网关的控制端。
蜜罐IP配置:在蜜网网关的设置中,需要添加蜜罐主机的IP地址,多个蜜罐主机的IP地址需要用空格隔开。
蜜网网络设置:蜜网网关还需要对蜜网所在网络进行设置,包括广播地址和CIDR。
远程管理配置:蜜网网关支持远程通过SSH控制网关,需要对远程管理进行配置。
Sebek软件:在蜜罐主机上通过Sebek软件记录系统攻击行为,蜜网网关则用于捕获和分析这些攻击行为。
透明网关:蜜网网关作为一个透明的攻击行为捕获与分析平台,能够在蜜罐主机上记录攻击行为,同时对攻击者的行为进行监测和分析。
构建一个基础的网络攻防实验环境需要四个关键组成部分:靶机、攻击机、攻击检测、分析防御系统以及网络连接。
靶机用于模拟被攻击的主机,可以是运行 Linux 或 Windows XP 的系统。
攻击机用于执行攻击操作的主机,Linux 系统因其丰富的攻击工具而成为理想的选择。
攻击检测、分析与防御平台的最佳部署位置是在靶机的网关处,以便监控和分析网络流量。
网络连接通过物理或虚拟网络将靶机、攻击机和防御平台连接起来,形成一个完整的实验环境。
一些常用攻防软件简介:
(1)Wireshark:是一个网络封包分析软件。它是一个理想的开源多平台网络协议分析工具。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。它可以让你在一个活动的网络里捕获并交互浏览数据,根据需求分析重要的数据包里的细节。
(2)TFN2K:是一个分布式拒绝服务(DDoS)攻击工具,通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和Windows NT等平台的主机能被用于此类攻击,而且这个工具非常容易被移植到其它系统平台上。
(3)tcpdump:根据使用者的定义对网络上的数据包进行截获的包分析工具,实验过程中在蜜网网关上使用过。
二、攻防环境搭建过程
(一)前提知识以及拓扑结构
1.1 相关软件总结
1.2 拓扑结构图
网络拓补结构图如下图所示:
2.3 实践过程
2.3.1 虚拟机镜像准备。
打开VMWare Workstation,单击“打开虚拟机”;
双击解压出来的虚拟机文件中的.vmx文件,即可打开虚拟机。
Kali官网下载,参考B站教程【网络安全】2025最新VMware安装+Kali安装激活教程,一键激活,永久使用,Kali下载安装教程,vmware安装包,kali安装包!!】 https://www.bilibili.com/video/BV1XCPLeYEKq/?share_source=copy_web&vd_source=200ea93539d8b80bb931415806d50f1a
2.3.2 虚拟网络配置
1.打开VMWare Workstation,单击“编辑”-“虚拟网络编辑器”
2.单击右下角的“更改设置”,授予管理员权限后,重新进入编辑,进入如下界面
对VMnet8设置NAT和DHCP:
单击右侧“NAT设置”,在下面的窗口中,将NAT网关设为192.168.200.1。
单击右侧“DHCP设置”,然后将起始IP地址设为192.168.200.2,将结束IP地址设为192.168.200.120(预留几个地址用来配置靶机)
2.3.3 攻击机的安装与配置
将这三个攻击机加载到虚拟机中:
SEEDUbuntu9_August_2010
Kali Linux
VM_WinXPattacker
对三个攻击机都点击“编辑虚拟机设置”,单击上图标示的“网络适配器”,进入“虚拟机设置”界面。
(1)Kali
Kali设置为“VMnet8(NAT模式)”,然后单击“确定”。
在虚拟机Kali中打开“命令提示符”,输入“ifconfig”,回车,即可看到这台主机的IP地址等信息。
(2) WinXPattacker
对于WinXPattacker单击上图标示的“网络适配器”,进入“虚拟机设置”界面。
选择“自定义”,然后在下拉列表中选择“VMnet8(NAT模式)”,然后单击“确定”。
(前面的截图没改虚拟机名字,从这儿往后开始改了名字)
在虚拟机中打开“命令提示符”,输入“ipconfig”,回车,即可看到这台主机的IP地址等信息。
(3)SEEDUbuntu
对于SEEDUbuntu单击上图标示的“网络适配器”,进入“虚拟机设置”界面。
选择“自定义”,然后在下拉列表中选择“VMnet8(NAT模式)”,然后单击“确定”。
进入终端(Terminal),输入ifconfig,回车,即可看到本机的网络地址信息。
将Metasploitable_ubuntu和Win2kServer_SP0_target加载到虚拟机中,打开虚拟机,进入“虚拟机设置”界面。
网络适配器选择“自定义(VMnet1)”,单击“确定”。
2.3.4靶机的安装与配置
(1)Metasploitable_ubuntu的网络设置
单击上方的“
”按钮,开启这个虚拟机。
输入账户名(msfadmin),回车,输入密码(msfadmin),回车
输入命令sudo vim /etc/rc.local,回车,系统要求您输入账户的密码(msfadmin),输入密码,回车,进入编辑界面。
按“i”键,进入编辑模式,在exit 0前另起一行,输入这两行指令:
ifconfig eth0 192.168.200.130 netmask 255.255.255.128
route add default gw 192.168.200.1
按“esc”键,离开编辑模式,输入“:wq”,保存该文件并退出。
输入“sudo reboot”,重启机器,下一次开机时,会自动运行刚刚编写的rc.local中写下的命令。
登录成功后,输入ifconfig,回车,查看本机网络配置。
(2)Win2kServer_SP0_target的网络设置
输入密码(“mima1234”),进入桌面。
打开“我的电脑”-“控制面板”-“网络和拨号连接”-“本地连接”,进入“本地连接”设置界面。
单击“属性”按钮,进入“属性”界面。
双击“Internet协议(TCP/IP)”。
设置IP地址、子网掩码、默认网关、DNS,单击“确定”。
打开命令提示符,输入ipconfig查看网络配置情况。
2.3.5 蜜网网关的安装与配置
2.3.5.1 虚拟机的建立
在VMWare主页,单击“创建新的虚拟机”(或者单击“文件”,选择“新的虚拟机”
选择“自定义(高级)”,单击“下一步”。
选择“稍后安装操作系统”,单击“下一步”。
客户机操作系统,选择“Linux”,“Cent OS 5和更早版本”,单击“下一步”。
虚拟机名称自定,“下一步”。
完成
选择“CD/DVD”,选择“使用ISO映像文件”,单击“浏览”。
选中我们准备好的这个镜像文件“roo-1.4”,点击“打开”。单击下方的“添加”按钮
添加网络适配器
2.3.5.2 蜜网网关系统的初始化安装
开启虚拟机,进入如下界面。
将光标定位到虚拟机中(在虚拟机内部单击),按“enter”键进行安装。
在重启后的登录界面中,输入账户名roo,密码honey,进入系统。
输入命令su -提权,输入默认密码“honey”,回车。
2.3.5.3 蜜网网关的配置
按回车键,进入主菜单。
使用方向键,将光标移动至“4 Honeywall Configuration”,按回车。
在“设置模式”这一步,选择“2 Defaults”,回车。
回到了主菜单界面。再次将光标移动至“4 Honeywall Configuration”,按回车。
进入了Honeywall的配置界面。
选择配置IP
将光标移至“1 Mode and IP Information”,按回车。
光标移至第二项“2 Honeypot IP Address”,回车。
参考上面几步对参数的操作,设定以下参数:
2 Honeypot IP Address:192.168.200.130 192.168.233.131
5 LAN Broadcast Address:192.168.200.127
6 LAN CIDR Prefix:192.168.200.0/25
修改完之后,将光标移至“save Commit Changes and Return to Previous Menu”,按回车,提交修改。
然后设置远程管理
在Honeywall Configuration界面中,将光标移至“2 Remote Management”,回车,进入如下界面。
设定以下参数:
1 Management IP:192.168.200.8
2 Management Metmask:255.255.255.128
3 Management Gateway:192.168.200.1
7 Manager:192.168.200.0/25
12 Walleye:在Yes处回车
修改完之后,将光标移至“save Commit Changes and Return to Previous Menu”,按回车,提交修改。
最后设置sebek
回到Honeywall Configuration界面,将光标移动至“11 Sebek”,回车。
设置Sebek的IP地址为192.168.200.8,在OK处按回车,进入下一步。
UDP端口默认,在OK处按回车,进入下一步。
选择第一项“1 Drop”,在OK处回车,完成Sebek设置。
回到Honeywall Configuration界面,将光标移至“back Back to main menu”,回车,使上面的修改生效。
回到主菜单,退出即可
2.3.5.4 蜜网网关图形化管理界面
在一台攻击机(kali)中的浏览器的地址栏上输入https://192.168.200.8(之前设置的蜜网网关地址),单击“访问”,会出现如下提示:
用WinXPattacker的浏览器输入https://192.168.200.8点击“仍然继续”或者“继续访问”等选项,忽视SSL错误,进入蜜网网关的登录界面。
输入用户名roo和密码,进入walleye主界面。在这个界面可以看到经过蜜网网关的流量信息,也可以对蜜网网关进行配置。
第一次登录此界面(初始密码为honey),提示修改密码,修改的密码要求8位及以上,且至少有一个大写字母、一个小写字母、一个数字和一个特殊符号。我这里设置为Li5571448@
2.3.6 测试网络连通性
重新启动攻击机、蜜网网关和靶机。
登录蜜网网关,使用su -提权,然后输入tcpdump -i eth0 icmp,启动监听程序。
在另一台攻击机(192.168.200.3)中输入ping 192.168.200.2,成功ping通。
蜜网网关后台监听到了两台主机之间的ICMP交换。
3.学习中遇到的问题及解决
问题1:跟第一个视频做,kali的浏览器访问不了蜜网网关
解决方案:跟着后面的第三个视频“蜜网网关安装于配置”,从WinXPattacker里的浏览器访问,最后完成实验。
4.学习感悟、思考等
以前对于虚拟机的使用和网络环境的搭建没有接触过,对于网络攻防方面的知识也没有太多了解,一开始只是跟着视频做,但是也不可能原样照搬,可能会遇到各种各样的问题,通过向同学寻求帮助,和B站,csdn上寻找帮助,最后将虚拟机安装和环境搭建完成。
通过这次实验,也提高了自己的动手能力,对于网络攻防产生一些兴趣,在完成之后获得了一些成就感,觉得自己对于网络攻防的知识还需要更深入的学习与理解。
浙公网安备 33010602011771号