网络攻防环境搭建

课程2讲义：基于第三代蜜网的VNet网络攻防实验环境构建TheArtemisProject/狩猎女神项目组诸葛建伟一、先决条件在阅读本文前，请先阅读KnowYourEnemy:Honeynets，KnowYourEnemy:GenIIHoneynets和KnowYourEnemy：HoneywallCDROMRoo，对Honeynets的概念和第三代Honeynet(Roo)技术有个清晰的认识，并完全了解Roo的部署软/硬件要求。二、VMware软件介绍VMware软件是VMware公司（）出品的优秀虚拟机产品，可以在宿主主机上通过模拟硬件构建多台虚拟主机。VMware软件版本主要有VMwarePlayer（免费）、VMwareWorkstation、VMwareGSXServer（目前license免费）、VMwareESXServer等版本，本文档基于最普遍使用的VMwareWorkstation，具体版本为VMware-workstation-full-7.0.0-203739。运行在VMware虚拟机软件上操作系统的网络连接方式有三种：桥接方式（Bridge）：在桥接方式下，VMware模拟一个虚拟的网卡给客户系统，主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。图1VMware支持的桥接连接方式示意图网络地址转换方式（NAT）：在这种方式下，客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下，客户系统对于外部不可见。图2VMware支持的NAT连接方式示意图主机方式（Host-Only）：在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络。在这种方式下，如果主系统是用公网IP连接Internet，那客户系统只能用私有IP。但是如果我们另外安装一个系统通过桥接方式连接Internet（这时这个系统成为一个桥接器），则我们可以设置这些客户系统的IP为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的虚拟蜜网。图3VMware支持的host-only连接方式示意图三、网络拓扑及软硬件需求3.1网络拓扑图4虚拟蜜网网络拓扑结构3.2软硬件需求基于Win32平台构建虚拟蜜网的硬件配置建议如下：至少P4CPU，建议2.0GHz以上至少1G内存，建议2G以上至少20G硬盘，建议40G以上软件配置包括：宿主主机：操作系统：Win2K/WinXP，本文档基于WindowsXPSP2VMwareWorkstationforWin32，本文档使用VMware-workstation-full-7.0.0-203739蜜网网关虚拟机：RooHoneywallCDROMv1.4攻击机和靶机的镜像见课程2slides，本文档采用如下：WinXPattacker作为攻击机Win2kServer_SP0_target作为靶机注：为安全起见，请将宿主主机上的网线拔掉，开始进行下述四、五中的实验。四、虚拟蜜网的构建4.1VMware软件安装与配置默认方式安装VMwareWorkstation软件全过程。图5安装完VMwareWorkstation4.2VMware网络环境配置在VMware中Edit--VirtualNetworkEditor,选择VMnet1，设置如下图6VMnet1的设置选择VMnet8，设置如下图7VMnet8的设置点击图7中的NATSettings，设置如下：图8VMnet8中NAT的设置点击图7中的DHCPSettings，设置如下：（注意：为了留一些IP给靶机，在这里EndIPaddress没有设为192.168.200.126）图9VMnet8中DHCP的设置4.3安装攻击机虚拟机1.从课程ftp上下载并解压WinXPattacker的rar镜像到某一目录2.File--Open，选择你的解压目录，选择相应vmx文件3．配置攻击机虚拟机的硬件鼠标选择WinXPattacker的选项卡，菜单中选择VM--Settings，Hardware选项卡中选择点击Memory，在右侧设置合适大小（注意这项在虚拟机开启时不可设置，可先将该虚拟机poweroff，设置好之后，再poweron）图10攻击机虚拟机的虚拟内存设置Hardware选项卡中选择点击NetworkAdaptor，在右侧设置为NAT图11攻击机虚拟机联网方式设置为NAT4.查看攻击机虚拟机的ip图12DHCP动态分配给攻击机虚拟机的IP地址为192.168.200.24.4安装靶机虚拟机1.从课程ftp上下载并解压Win2kServer_SP0_target的rar镜像到某一目录2.File--Open，选择你的解压目录，选择相应vmx文件3．配置靶机虚拟机的硬件鼠标选择Win2kServer_SP0_target的选项卡，菜单中选择VM--Settings，Hardware选项卡中选择点击Memory，在右侧设置合适大小（注意这项在虚拟机开启时不可设置，可先将该虚拟机poweroff，设置好之后，再poweron）图13靶机虚拟机的虚拟内存设置图14靶机虚拟机联网方式设置为Host-Only4.配置靶机虚拟机的ip和网关找一个在192.168.200.0/25网段的，且不在图9的DHCP分配范围的ip，我们这里选择192.168.200.124，配置如下图15配置靶机虚拟机的ip和网关4.5安装蜜网网关虚拟机1.File--New--Virtualmachine，新建虚拟机，选择Custom安装图16选择Custom安装2.设置VMwareWorkstation版本图17设置VMwareWorkstation版本为6.5-7.03.设置CDROM为蜜网网关Roov1.4软件ISO图18设置CDROM为蜜网网关Roov1.4软件ISO4.设置蜜网网关虚拟机命名与路径图19设置蜜网网关虚拟机命名与路径5.设置蜜网网关虚拟硬件图20设置虚拟CPU，选择单处理器图21设置蜜网网关虚拟机内存大小，建议256M图22设置网络连接方式，选择NAT模式，后面需另加两个网卡图23设置虚拟硬盘接口类型，SCSI接口选择为LSILogic图24创建虚拟硬盘图25设置虚拟硬盘为SCSI硬盘图26设置虚拟硬盘大小为8G，无需立即分配全部空间图27指定虚拟硬盘文件的绝对路径，注意必须给出全绝对路径，不要出现中文字符6.添加两块网卡点击下图中CustomizeHardware图28显示配置点击下图中add按钮，按照提示步骤添加两块网卡，其中Ethernet2设为Host-only,Ethernet3设为NAT，添加后如图30所示图29Hardware配置图30添加两块网卡之后的配置7.安装蜜网网关软件启动蜜网网关虚拟机，进入如下安装界面。图31安装蜜网网关软件，键入回车键确认开始安装图32蜜网网关软件安装过程图33蜜网网关软件安装完毕，进入登录界面4.6配置蜜网网关虚拟机1.登录蜜网网关以roo/honey缺省用户/口令登录，使用su-提升到root帐号，缺省口令也为honey图34登录蜜网网关2.蜜网网关初始配置图35蜜网网关初始配置界面如未进入此初始配置界面，则在shell中执行图36蜜网网关配置菜单选项界面，选择4HoneywallConfiguration进行配置图37对TheHoneynetProject的不承担风险声明选择Yes图38选择Defaults配置方式接下来会rebuid，稍等片刻3.蜜罐信息配置命令行menu进入蜜网网关配置界面，选择4HoneyWallConfiguration选择1ModeandIPInformation选择2HoneypotIPAddress图39蜜罐IP信息配置，空格分隔多个IP地址，注：目前Roo尚不支持蜜网网络中具有不同网段的蜜罐IP地址选择5LANBroadcastAddress图40蜜网网段的广播IP地址选择6LANCIDRPrefix图41蜜网网段配置，CIDR格式4.蜜网网关管理配置蜜网网关配置主界面，选择4HoneyWallConfiguration选择2RemoteManagement选择1ManagementIPAddress图42设置管理口的IP地址选择2ManagementNetmask图43管理口IP地址的掩码选择3ManagementGateway图44管理口的网关选择7Manager，设置可以管理蜜网网关的远程控制端IP范围，以CIDR格式填写，可有多个IP网段，中间用空格分隔图45蜜网网关管理网段5.Sebek服务器端配置蜜网网关配置主界面，选择4HoneyWallConfiguration选择11Sebek图46Sebek服务器端IP地址，设置为管理口IP目标端口选择为1101，Sebek数据包处理选项选择为Drop4.7测试蜜网网关的远程管理Honeywall上的防火墙设置不允许icmp协议访问管理口同时会设置允许访问ssh和https的管理网段。下面测试https的远程管理1测试walleye远程访问在192.168.200.2这台虚拟机上访问结果如下图47远程连接Walleye出现一个修改密码的界面，按要求修改密码之后，进入如下界面图48Walleye远程管理界面4.8测试虚拟机蜜罐和攻击机主机之间的网络连接在攻击机主机上ping虚拟机蜜罐IP图49测试攻击机虚拟机到蜜罐虚拟机的连通性在虚拟机蜜罐上ping攻击机虚拟机IP图50测试蜜罐虚拟机到攻击机虚拟机的连通性在蜜网网关上监听ICMPping包是否通过外网口和内网口，注意，以下命令必须得在root权限下操作图51攻击机ping靶机的时候，tcpdump-ieth0icmp图52攻击机ping靶机的时候，tcpdump-ieth1icmp图53靶机ping攻击机的时候，tcpdump-ieth0icmp图54靶机ping攻击机的时候，tcpdump-ieth1icmp通过测试后，说明虚拟机蜜罐和外部网络之间的网络连接（通过蜜网网关eth0和eth1所构成的网桥）没有问题。五、攻击测试5.1虚拟机蜜罐上安装Sebek客户端1.在Win32虚拟机蜜罐上安装Sebek客户端将Sebek-Win32-3.0.4.zip或Sebek-Win32-latest.zip（）通过网络共享拷贝到虚拟机蜜罐中，解压后执行Setup.exe进行安装。图55安装SebekWin32系统监控软件在蜜网网关虚拟机上执行ifconfigeth2，得到管理口eth2的MAC地址，填入下图所示的Sebek服务器端配置对话框。图56配置SebekWin32系统监控软件随机生成或填写MagicNumber，需保证同一蜜网中每台蜜罐主机上均安装Sebek，且Sebek使用的MagicNumber保持一致，使得Sebek的上传通讯在蜜网中对攻击者隐蔽（即使攻击者获取了蜜罐主机的控制权，并启用网络监听器进行监听）。重新启动主机，建立snapshot。5.2漏洞扫描测试在攻击机虚拟机上用nmap扫描蜜罐虚拟机192.168.200.124图57（1）nmap对虚拟机蜜罐进行扫描测试图57（2）nmap对虚拟机蜜罐进行扫描测试注：由于目前SebekClientforWin32版本的稳定性较差，大规模的扫描和渗透测试很可能会造成Sebek的崩溃从而引发BSOD（BlueScreenofDeath）。图58虚拟机蜜罐蓝屏图59蜜网网关捕获的漏洞扫描过程的摘要视图在蜜网网关上对nmap漏洞扫描过程中的每个网络连接都进行了完备的记录，从图59蜜网网关数据摘要视图可发现正在扫描的192.168.200.2攻击机I