1.知识点梳理与总结
1.1 实验内容
本次实验基于 VMware Workstation 虚拟化平台,完成个人版网络攻防实践环境的全流程搭建。核心内容包括:完成攻击机、靶机、SEED 教学虚拟机、蜜网网关四类核心节点的虚拟机导入与基础配置;完成虚拟化网络网段划分、IP 地址规划与虚拟交换机配置;通过蜜网网关实现攻击网段与靶机网段的流量管控与隔离;完成全环境网络连通性测试,确保各节点通信正常、环境安全隔离,满足后续网络攻防实验的开展要求。
1.2 相关知识点
攻防环境核心组件功能:攻击机作为攻击行为发起端,预装信息侦查、漏洞利用等全流程攻防工具;靶机作为攻防演练目标,搭载带有已知安全漏洞的系统与服务,用于复现攻击场景;SEED 虚拟机为专业安全教学实验载体,适配网络安全原理学习与实验场景复现;蜜网网关为环境核心管控中枢,实现跨网段流量转发、访问控制、攻击行为全量日志审计与网络隔离。
虚拟化网络技术原理:掌握 VMware 虚拟交换机(VMnet)的配置与使用方法,通过不同虚拟交换机实现攻击网段、靶机网段的逻辑隔离;理解仅主机网络模式的隔离特性,实现实验环境与外网的物理隔离,避免攻击流量外泄。
网络连通性验证方法:掌握基于 ping 等基础工具的网络链路测试方法,可验证各节点 IP 配置、网关设置的正确性,确认节点间通信链路通畅,同时验证环境隔离规则的有效性。
攻防实验安全合规规范:明确网络攻防实验需严格遵守《中华人民共和国网络安全法》等相关法律法规,所有攻击操作必须在隔离的私有实验环境内开展,严禁对非授权的外网目标发起任何形式的扫描、攻击行为。
1.3 部署方式
本次实验各节点的虚拟机配置与 IP 地址规划如下表所示:
| 名称 | 虚拟机 | IP 地址 |
|---|---|---|
| 攻击机 | kali-linux-2023.1-vmware | 192.168.200.2 |
| 攻击机 | WinXPAttacker | 192.168.200.3 |
| 靶机 | Win2000_Server_SP0_target | 192.168.200.131 |
| 靶机 | Metasploitable_ubuntu | 192.168.200.130 |
| SEED 虚拟机 | SEEDUbuntu9 | 192.168.200.4 |
| 蜜网网关 | Honeywall | 192.168.200.8 |
1.4攻防环境拓扑结构图
2.攻防环境搭建详细过程
2.1 安装kali虚拟机
因压缩包没有kali的镜像,需在官网自行下载:https://kali.org/
点击DOWNLOAD按钮
选择Virtual Machines
下载VMware版
下载完成后将其解压
打开该虚拟机
2.2.1 靶机配置步骤
根据红框圈出的内容进行操作:
2.2.2 虚拟环境网络配置
打开VMware后,选择编辑-虚拟网络编辑器
点击虚拟网络编辑器后点击更改设置,并给予管理员权限,随后将VMnet1的子网ip和子网掩码设置为如图所示,并将使用本地DHCP服务将IP地址分配给虚拟器取消掉
继续设置VMnet8,点击NAT设置,将网关ip设置为如图
确认后将子网掩码和子网ip设置为如图
随后点击DHCP设置,将起始ip和结束ip地址改为如图所示
2.2.3 搭建虚拟机
点击打开虚拟机,分别打开VM_Metasploitable_ubuntu和VM_Win2kServer_SP0_target
打开后按顺序将两个都将网络配置成VMnet1的仅主机模式
启动VM_Win2kServer_SP0_target,密码为:mima1234
进入桌面后,点击我的电脑,随后点击网络和拨号连接
将ip地址和dns更改为如图所示
设置完成,启动VM_Metasploitable虚拟机,输入账号(msfadmin)和密码(msfadmin)登录
登录后再输入sudo vim/etc/rc.local指令打开该文件,密码仍为msfadmin
进入文件后,添加如下内容:
Ifconfig eth0 192.168.200.130 netmask 255.255.255.128
Route add default gw 192.168.200.129
随后按ESC并输入wq保存退出
输入sudo reboot重启虚拟机,重启后再输入ifconfig查看是否成功
2.3 配置攻击机
2.3.1 Kali
打开kali虚拟机,点击网络适配器,网络连接选择VMnet8(NAT模式)
随后开启虚拟机,输入账号(kali)密码(kali)登录
打开控制台,输入ip addr,看到ip为192.168.200.2,处于VMnet8分配的网段中,配置成功
2.3.2 WinXPattacker
打开WinXPattacker虚拟机,点击网络适配器,网络连接选择VMnet1(仅主机模式)
开启虚拟机,输入密码(mima1234)登录。
打开cmd,输入命令ipconfig,查看到IP地址:192.168.200.3,处于VMnet8分配的地址网段中,说明配置成功。
2.4 配置SEED虚拟机
打开Seed虚拟机,点击网络适配器,网络连接选择VMnet8(NAT模式)。
开启虚拟机,输入账号(seed)和密码(dees)进行登录。
打开cmd,输入命令ifconfig,查看到IP地址:192.168.200.4,处于VMnet8分配的地址网段中,说明配置成功。
2.5 配置蜜网网关
点击文件,新建虚拟机,创建一个虚拟机。
硬件兼容性选择6.5-7.x
选择稍后安装操作系统
操作系统选择Linux,版本选择CentOS 5和更早版本
设置处理器数量以及内核数量
分配虚拟内存
选择使用网络地址转换(NAT)
选择控制器类型
选择磁盘类型
选择创建新虚拟磁盘
指定磁盘容量
自行指定磁盘文件存储位置,点击下一步后完成虚拟机创建。
打开HoneyWall虚拟机,点击CD/DVD(IDE),选择使用ISO映像文件。
点击添加,新增两个网络适配器。
打开网络适配器2,网络连接选择仅主机模式;
打开网络适配器3,网络连接选择VMnet8(NAT模式)。
开启虚拟机,输入账号(roo)和密码(honey)进行登录,然后使用输入命令su -提升至root权限。
输入menu进入菜单,选择4 Honeywall Configuration
选择1 Mode and IP Information
选择2 Honeypot IP Address
输入两个靶机的IP地址192.160.200.130、192.160.200.131
按回车回到上一个页面选择5 LAN Broadcast Address
输入VMnet8的广播地址192.168.200.127
选ok保存后选择6 LAN CIDR Prefix
输入蜜网网段192.168.200.0/25
完成后,选择save,返回到前一个菜单,选择2 Remote Management
选择1 Management IP
输入蜜网网关IP地址:192.168.200.8
选择ok后选择2 Management Netmask输入子网掩码:255.255.255.128
选择ok后选择3 Management Gateway输入路由IP:192.168.200.1
选择ok后选择7 Manager输入蜜罐的IP:192.168.200.0/25
完成后,选择save,返回到前一个菜单,选择11 sebek
输入Sebek的IP:192.168.200.8
端口号使用默认的1101
选择1 Drop
返回命令行,输入ifconfig,检验配置成功。
2.6 连通性测试
2.6.1 攻击机访问蜜网网关
开启WinXP虚拟机,点击ie浏览器,输入蜜网网关的IP地址:https://192.168.200.8
输入账号(roo)和密码(honey)进行登录,然后需要设置新的密码(NIhao100!)。
完成后进入到监听界面
2.6.2 蜜网网关实现监听
进入Honeywall虚拟机,输入命令tcpdump -i eth0,进行监听测试。
开启Kali虚拟机,打开cmd,输入命令ping 192.168.200.3
观察蜜网可知成功
随后开启Seed虚拟机,打开cmd,输入命令ping 192.168.200.2
观察蜜网可知监听成功
完成实验全部步骤
3.学习中遇到的问题及解决
-问题一:攻击机(Kali)出现“Network is unreachable”导致无法发出探测包
-故障机理: 属于本地系统路由表缺失错误。Kali 系统在分配 IP 时附加了 noprefixroute 属性,导致 Linux 内核未自动生成 192.168.200.0/24 网段的直连路由,内核因寻址失败在本地直接丢弃报文。
-解决逻辑: 运用 ip route add 命令,手动将目标网段的路由规则注入内核空间,明确数据包发送的物理出口(dev eth0)。
-问题二:Honeywall 物理链路连通,但无法形成双向抓包闭环(无 ICMP 回包)
-故障机理: 流量遭到网络与应用双层安全策略的拦截。一方面,Honeywall 的网关白名单未登记真实靶机 IP,底层 iptables 网桥规则将靶机发出的数据判定为 IP 伪造(Spoofing)并静默丢弃;另一方面,靶机的系统自带防火墙默认阻断了外部 Ping 报文。
-解决逻辑: 首先在 Honeywall 管理菜单中将靶机 IP (192.168.200.2) 注册至 Honeypot IP Address 列表并重启网关重载规则;其次,进入靶机系统内部关闭其操作系统级别的防火墙服务,彻底消除端到端的双向通信壁垒。