20251910 2025-2026-2 《网络攻防实践》第1周作业
1.知识点梳理与总结
1.1相关概念
- 靶机:包含一系列可利用的系统和应用程序安全漏洞的主机,用于作为网络攻防测试中的攻击目标。
- 攻击机:包含一系列可以使用的安全测试工具的主机,用于作为网络攻防测试中的攻击发起方。
- 密网网关:一个作为透明网关的攻击行为捕获与分析平台,是蜜网架构中用于管控流量、记录并分析攻击行为的核心组件。
1.2DHCP
DHCP是一种用于自动分配网络配置参数的应用层协议,广泛应用于局域网中,简化网络设备的 IP 地址管理。
工作流程:
- 发现阶段:客户端向网络发送广播包,寻找可用的 DHCP 服务器。
- 提供阶段:DHCP 服务器收到请求后,向客户端广播一个可用的 IP 地址及相关配置。
- 请求阶段:客户端选择其中一个 DHCP 服务器,向该服务器发送确认请求。
- 确认阶段:DHCP 服务器确认请求,将 IP 地址等配置正式分配给客户端,并设置有效期限。
2.攻防环境搭建过程
2.1实验目的与环境说明
本实验需要利用VMware Workstation,搭建一套网络攻防实验环境,为后续的网络攻防实践课程中后续网络攻防实验提供实验环境和平台。实验环境包括三台攻击机、两台靶机和一台蜜罐网关。其中三台攻击机和蜜罐网关的eth0端口处于同一虚拟网络中,两台靶机和蜜罐网关的eth1端口处于同一虚拟网络中,蜜罐网关的eth2管理端口单独处于一个网络中(实验中与攻击机设置在同一网络)。
2.2实验环境拓扑结构
参考实验指导书的大致结构,我们把整个网络分为两个虚拟子网分别为VMnet1和VMnet8。
VMnet8(192.168.200.0/25):包含 Kali、WinXPattacker、SEED ubuntu 攻击 / 测试设备。使用DHCP技术自动分配网络ip地址。
kali:192.168.200.5/25
WinXPattacker:192.168.200.4/25
SEED ubuntu:192.168.200.3/25
密网网关eth0:192.168.200.1/25
密网网关eth2:192.168.200.8/25
VMnet1(192.168.200.128/25):包含 Metasploitable、Win2kserver 靶机设备,手动配置ip地址。
Metasploitable:192.168.200.131/25
Win2kserver:192.168.200.130/25
密网网关eth1:192.168.200.129
网桥:用 eth0 连 VMnet8、eth1 连 VMnet1,让两个虚拟网络互通,用于网络安全实验。
2.3虚拟网络配置
打开VMware Workstation虚拟网络编辑器,对网络参数进行配置。
首先对VMnet1进行设置,将网络设置为仅主机模式,关闭DHCP地址自动分配,修改子网ip为192.168.200.128,修改子网掩码为255.255.255.128。
然后对VMnet8进行设置,将网络设置为NAT模式,打开DHCP地址自动分配,修改子网ip为192.168.200.0,修改子网掩码为255.255.255.128。
点击NAT设置,将网关ip修改为192.168.200.1
点击DHCP设置,修改起始ip地址为192.168.200.2,结束ip地址为192.168.200.120
至此虚拟网络配置完成
2.4虚拟机镜像安装
本次实验需要安装多个虚拟机镜像,包括:
-
WinXPattacker
-
kali
-
SEEDUbuntu
-
Metasploitable_ubuntu
-
Win2kServer_SP0_target
-
HoneyWall
对于文件后缀为.vmx的文件,在VMware Workstation点击打开虚拟机选中.vmx后缀文件即可导入,对于kali和roo这种以.iso为后缀的文件,则需要选择新建虚拟机并选择相关文件。
需要注意的是在roo安装过程中,注意将虚拟机硬件兼容性适当降低,否则可能出现缺少虚拟网卡驱动等问题,导致无法正常进行实验。
2.5虚拟机网络设置
2.5.1攻击机网络设置
对于攻击机,我们需要将所有虚拟机的网络适配器调为VMnat8,即我们之前配置过的网段。
因为攻击机网段开启了DHCP服务,所以所有的ip地址都是从192.168.200.2-192.168.200.120自动分配的,无需我们手动配置,只需输入ifconfig(linux系统)或ipconfig(Windows系统)查看是否正确即可。
2.5.2靶机网络设置
对于所有的靶机,我们也需要将虚拟机的网络适配器调为VMnet1.
因为靶机网段没有开启DHCP服务,所以需要我们静态绑定ip地址、子网掩码和网关等信息。
对于Windows靶机,也就是Win2kserver,我们需要通过右键本地连接,打开Internet协议设置,点击使用下面的ip地址,配置信息如图片所示。
对于Linux靶机,也就是Metasploitable,我们需要通过sudo vim /etc/rc.local这行指令打开网络配置文件,将ifconfig eth0 192.168.200.131 netmask 255.255.255.128 route add default gw 192.168.200.1这行代码插入到exit 0上方,并sudo reboot重启系统。
2.5.3蜜罐网关网络设置
蜜罐网关的网络设置较为复杂。首先,我们需要将roo虚拟机的网络适配器调整为如图所示,三个网络适配器从上到下分别对应eth0、eth1、eth2。
第一次在终端输入su - 进入管理员模式后,会自动弹出honeywall设置界面,跟随以下步骤设置。
将honeypots 设置为 192.168.200.130 192.168.200.131
广播地址设置为192.168.200.255
网段设置为192.168.200.128/25
将管理端口ip设置为192.168.200.8,即eth2
依次配置管理端口的子网掩码和网关。
最后将sebek设置为192.168.200.8
蜜罐网关设置完成
2.6网络测试
以上步骤结束后,我们可以开始测试网络的连通性。
2.6.1蜜罐网关管理
我们使用WinXPattacker访问https://192.168.200.8即可进入蜜罐网关管理界面。
2.6.2测试网络连通性
靶机ping eth0(192.168.200.129)
攻击机ping靶机并用蜜罐网关监听
3.学习中遇到的问题及解决
3.1问题一:测试连通性时无法ping通蜜罐网关
问题描述:在尝试使用靶机和攻击机ping蜜罐网关的端口时无法ping通,蜜罐网关能收到icmp request包,但没有icmp reply。
解决方法:
使用
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
放开防火墙策略,最终能ping成功。
3.2问题二:进入HoneyWall后没有出现设置模块
问题描述:进入HoneyWall后没有出现设置模块,输入menu也没有反应,显示安装错误。
解决方案:调整VMware Workstation的硬件兼容性选项,将其调到旧版本。另外在安装客户机操作系统界面选择稍后安装操作系统,自己装载光盘映像文件。问题解决。
4.学习感悟和思考
经过此次实验,我了解学习了基础的网络攻防实验环境配置方法。在整个实验过程中,我在虚拟化平台上完整构建了攻击机 - 靶机 - 蜜网网关的实验环境,在之前自己学习网络安全的过程中,所有的工具都直接部署在自己的电脑上或一台特定的靶机上,没有考虑过病毒逃逸或是突发意外情况对自己电脑和数据的影响。按照规范化的网络攻防环境设置并选择使用虚拟化技术来构架攻击机和靶机,既能保障自身设备的安全,也能在出现故障时选择初始化系统。由此我对渗透测试环境的隔离性、可控性有了直观且深刻的理解。
同时,我意识到了整体设计和细节把控在网络攻防中的重要性。在实验过程中,我因错误配置网段和虚拟机地址导致网络连通性错误,也出现因打错字符而无法连接的错误,一个复杂而精妙的系统既不能缺少科学的整体性设计,也要注意好细节和校验,这样才能更好地保障网络安全。