实践一 网络攻防环境的搭建

学习总结

一个基础的网络攻防实验环境包括以下部分:

  • 靶机:包含系统和应用程序漏洞,作为被攻击的目标。
  • 攻击机:安装有一些专用的攻击软件,可以对别的主机进行网络攻击。
  • 攻击检测、分析与防御平台:可以对网路的流量进行分析,达到攻击检测与防御的功能。
  • 网络连接:通过网络将靶机、攻击机和平台连接在一起。

网络拓扑图如下:

实验过程

环境搭建

攻击机kali的搭建

打开kali的官网,点击DOWNLOAD。

选择Virtual Machines。

选择64bit的VMware。

下载完成后解压文件,这是已经配置好的kali虚拟机,点击后缀为vmx的文件即可。

靶机Metasploitable的搭建

Metasploitable是Rapid7 Metasploit团队搭建的,去Rapid7官网找Metasploitable下载即可。
先填写一下基本信息获取下载资格。

点击下载即可。

与kali安装同理,解压后点击后缀为vmx的文件即可。

SEEDUbuntu搭建

打开SEED lab官网,点击SEED labs

选择SEED Labs 2.0

选择System Security

这里选上下都可

选择SEEDUbuntu-16.04 VM

然后选择想要的对应版本下载即可

这里下载的是VirtualBox的虚拟机,我们解压之后使用VirtualBox创建一个新的虚拟机,选择对应的文件即可。

密网网关Honeywall搭建

Honeywall官网下载报错误码523,那就使用老师的资源即可。
在VMware中新建虚拟机,因镜像较老硬件兼容性选择低点

选择稍后安装空白硬盘

路径和名字之类的自己定义,其他的使用默认的即可。

环境配置

靶机Metasploitable配置

打开VMware,编辑网络虚拟器,修改仅主机模式下的ip和子网掩码,并关闭DHCP服务。

修改NAT模式下的ip和子网掩码。

修改NAT设置中的网关ip。

修改DHCP中的IP地址范围。

开启靶机Metasploitable,用户名和密码皆为msfadmin,使用命令编辑网络设置

sudo vim /etc/rc.local

在最后一行加上ip、子网掩码等信息

使用命令重启机器并查看网络情况

sudo reboot
ifconfig

可以看到ip、子网掩码等信息已经设置成功。

kali配置

在虚拟机->网络适配器中选择NMnet8(NAT模式)

开启kali虚拟机,用户名和密码为kali,使用命令查看ip

ifconfig

可以看到攻击机kali的网段在之前设置的DHCP的范围中。

SEEDUbuntu配置

SEED ubuntu这里是用virtualbox安装的,更改ip地址的话可以在全局设定中增加想要的IP地址

然后在网络中将连接方式改为我们刚刚新增的网络

开启SEEDUbuntu,使用命令查看ip

ifconfig

蜜网网关roo配置

在VMware中打开roo的虚拟机设置,增加两个网络适配器,一个设为仅主机模式,一个设为VMnet8(NAT)模式

开启roo虚拟机,用户名是roo,密码honey,使用命令进行提权,root密码也是honey

su -

第一次开机需要做一些基础设置,选择4

这里选择2默认即可

接下来点ok等机器重启,机器重启后就开始正式的配置。选择1配置ip和模式

选择2配置蜜罐IP地址,设置IP地址为“192.168.159.123 192.168.159.124”

接下来就不一一截图了,按照上述类似操作依次配置广播地址

配置蜜网网段

配置蜜网网关的ip

配置蜜网网关的子网掩码

配置蜜网网关的路由

配置蜜罐的网段

设置Sebek ip,这一步会让选择端口和sebek包行为,默认即可。

到这一步已经完全配置成功,退出重启即可。

实验结果

在roo虚拟机中使用如下命令开启监听

tcpdump -i eth0 icmp

在kali虚拟机和SEEDUbuntu中ping靶机Metasploitable,可以在kali和SEEDUbuntu中看到回显信息,在roo虚拟机中看到捕获的流量。

遇到的问题及解决

honeywall官网下载资源错误码523

这应该是服务器挂了,使用老师提供的roo镜像资源即可。

honeywall进入不了配置界面

这是因为在安装镜像时没有选择稍后安全操作系统的方式安装,而是直接使用镜像光盘文件安装,导致配置都已默认设置好。比较笨的方法就是重装虚拟机,或者在命令行中输入“menu”命令也可以进入配置界面。

vitrualbox网络设置问题

SEEDUbuntu下载的是vitrualbox,不像VMware一样对网络配置具有丰富的可控性,如果使用添加新网络的方式来确保SEEDUbuntu与靶机处于一个网段,会发现不能ping通。这个有两个解决方法,一个是使用VMware版本的SEEDUbuntu,二是SEEDUbuntu改用NAT网络方式,可以ping通,可以通过编辑文件的方式确保SEEDUbuntu与靶机处于一个网段,也可以不改ip,在蜜网网关注意设置对应的ip段也可捕获SEEDUbuntu与靶机的通信。

honeywall网址访问问题

我下载的是最新的kali版本,在使用kali的火狐浏览器访问honeywall网站时,会因网站tls不安全而禁止访问。这也有两种解决方法,一个是更改浏览器设置降低浏览器安全权限,而个是使用winxp上的ie浏览器可以直接访问。

靶机ip划分问题

靶机我们给的子网段是128,而实验参考视频中使用的是123,与分配的子网段不符,这里将靶机ip修改为192.168.154.140,将靶机网关修改为192.168.154.129,重新进行ping测试。

学习感想和体会

做实验的时候没怎么参考视频,靠自己摸索着做,虽然走了一些弯路,但也锻炼了自己解决问题的能力。

posted @ 2022-03-20 19:41  PwnKi  阅读(2328)  评论(0编辑  收藏  举报