实践一 网络攻防环境的搭建

学习总结

一个基础的网络攻防实验环境包括以下部分：

• 靶机：包含系统和应用程序漏洞，作为被攻击的目标。
• 攻击机：安装有一些专用的攻击软件，可以对别的主机进行网络攻击。
• 攻击检测、分析与防御平台:可以对网路的流量进行分析，达到攻击检测与防御的功能。
• 网络连接：通过网络将靶机、攻击机和平台连接在一起。

网络拓扑图如下：

实验过程

环境搭建

攻击机kali的搭建

打开kali的官网，点击DOWNLOAD。

选择Virtual Machines。

选择64bit的VMware。

下载完成后解压文件，这是已经配置好的kali虚拟机，点击后缀为vmx的文件即可。

靶机Metasploitable的搭建

Metasploitable是Rapid7 Metasploit团队搭建的，去Rapid7官网找Metasploitable下载即可。
先填写一下基本信息获取下载资格。

点击下载即可。

与kali安装同理，解压后点击后缀为vmx的文件即可。

SEEDUbuntu搭建

打开SEED lab官网，点击SEED labs

选择SEED Labs 2.0

选择System Security

这里选上下都可

选择SEEDUbuntu-16.04 VM

然后选择想要的对应版本下载即可

这里下载的是VirtualBox的虚拟机，我们解压之后使用VirtualBox创建一个新的虚拟机，选择对应的文件即可。

密网网关Honeywall搭建

Honeywall官网下载报错误码523，那就使用老师的资源即可。
在VMware中新建虚拟机，因镜像较老硬件兼容性选择低点

选择稍后安装空白硬盘

路径和名字之类的自己定义，其他的使用默认的即可。

环境配置

靶机Metasploitable配置

打开VMware，编辑网络虚拟器，修改仅主机模式下的ip和子网掩码，并关闭DHCP服务。

修改NAT模式下的ip和子网掩码。

修改NAT设置中的网关ip。

修改DHCP中的IP地址范围。

开启靶机Metasploitable，用户名和密码皆为msfadmin，使用命令编辑网络设置

sudo vim /etc/rc.local

在最后一行加上ip、子网掩码等信息

使用命令重启机器并查看网络情况

sudo reboot
ifconfig

可以看到ip、子网掩码等信息已经设置成功。

kali配置

在虚拟机->网络适配器中选择NMnet8（NAT模式）

开启kali虚拟机，用户名和密码为kali，使用命令查看ip

ifconfig

可以看到攻击机kali的网段在之前设置的DHCP的范围中。

SEEDUbuntu配置

SEED ubuntu这里是用virtualbox安装的，更改ip地址的话可以在全局设定中增加想要的IP地址

然后在网络中将连接方式改为我们刚刚新增的网络

开启SEEDUbuntu，使用命令查看ip

ifconfig

蜜网网关roo配置

在VMware中打开roo的虚拟机设置，增加两个网络适配器，一个设为仅主机模式，一个设为VMnet8（NAT）模式

开启roo虚拟机，用户名是roo，密码honey，使用命令进行提权，root密码也是honey

su -

第一次开机需要做一些基础设置，选择4

这里选择2默认即可

接下来点ok等机器重启，机器重启后就开始正式的配置。选择1配置ip和模式

选择2配置蜜罐IP地址，设置IP地址为“192.168.159.123 192.168.159.124”

接下来就不一一截图了，按照上述类似操作依次配置广播地址

配置蜜网网段

配置蜜网网关的ip

配置蜜网网关的子网掩码

配置蜜网网关的路由

配置蜜罐的网段

设置Sebek ip，这一步会让选择端口和sebek包行为，默认即可。

到这一步已经完全配置成功，退出重启即可。

实验结果

在roo虚拟机中使用如下命令开启监听

tcpdump -i eth0 icmp

在kali虚拟机和SEEDUbuntu中ping靶机Metasploitable，可以在kali和SEEDUbuntu中看到回显信息，在roo虚拟机中看到捕获的流量。

遇到的问题及解决

honeywall官网下载资源错误码523

这应该是服务器挂了，使用老师提供的roo镜像资源即可。

honeywall进入不了配置界面

这是因为在安装镜像时没有选择稍后安全操作系统的方式安装，而是直接使用镜像光盘文件安装，导致配置都已默认设置好。比较笨的方法就是重装虚拟机，或者在命令行中输入“menu”命令也可以进入配置界面。

vitrualbox网络设置问题

SEEDUbuntu下载的是vitrualbox，不像VMware一样对网络配置具有丰富的可控性，如果使用添加新网络的方式来确保SEEDUbuntu与靶机处于一个网段，会发现不能ping通。这个有两个解决方法，一个是使用VMware版本的SEEDUbuntu，二是SEEDUbuntu改用NAT网络方式，可以ping通，可以通过编辑文件的方式确保SEEDUbuntu与靶机处于一个网段，也可以不改ip，在蜜网网关注意设置对应的ip段也可捕获SEEDUbuntu与靶机的通信。

honeywall网址访问问题

我下载的是最新的kali版本，在使用kali的火狐浏览器访问honeywall网站时，会因网站tls不安全而禁止访问。这也有两种解决方法，一个是更改浏览器设置降低浏览器安全权限，而个是使用winxp上的ie浏览器可以直接访问。

靶机ip划分问题

靶机我们给的子网段是128，而实验参考视频中使用的是123，与分配的子网段不符，这里将靶机ip修改为192.168.154.140，将靶机网关修改为192.168.154.129，重新进行ping测试。

学习感想和体会

做实验的时候没怎么参考视频，靠自己摸索着做，虽然走了一些弯路，但也锻炼了自己解决问题的能力。