1.知识点梳理与总结
蜜罐、蜜网与蜜网网关概念
- 蜜罐:是一类专门作为攻击诱饵的安全应用程序,用于主动吸引攻击者入侵。通过对攻击行为进行全程监测,可分析攻击手法、挖掘新型漏洞,同时收集攻击工具、攻击流程及相关行为信息。
- 蜜网:由多个蜜罐通过网络互联构成,可模拟真实的大型网络环境,用于诱捕攻击、完整观测入侵过程,并检验现有安全防护机制的有效性。
- 蜜网网关:是第三代蜜网技术的核心组件,作为透明化的攻击捕获与分析平台,配合部署在蜜罐上的Sebek工具,实现攻击行为的采集、记录与分析。
蜜网网关在网络攻防实验中承担关键作用,核心工作机制如下:
- 网桥功能:以桥接模式工作,扩展原有局域网,使内网主机能够正常访问蜜网中的蜜罐。
- 网卡配置:通常需要配置三块网卡:一=块以桥接模式提供外部对蜜网的访问;一块以仅主机模式构建蜜网;另一块以仅主机模式用于网关的控制端管理。
- 蜜罐IP配置:在网关中指定蜜罐主机IP,多台蜜罐IP以空格分隔。
- 网络参数配置:对蜜网所在网段进行设置,包括广播地址、CIDR网段等。
- 透明监控:作为透明网关,在不影响攻击感知的前提下,实现对攻击流量与行为的持续监测和分析。
三种模式的概念特点
- NAT模式:共享宿主机IP。
- Host-Only(仅主机):仅和宿主机互通,完全隔离,不能上网。
- 桥接模式:虚拟机变真实设备,有独立IP,局域网可直接访问。
2.网络拓扑图
3.实验过程
打开VMware Workstation虚拟网络编辑器,配置host-only,不使用DHCP动态分配IP:
配置NAT:
seed配置:
检查seed虚拟机IP:
Metasploitable_ubuntu配置:
手动编写:
检查,发现配置成功:
密网网关配置:
安装Roo虚拟机,其中需要注意的是在创建虚拟机的时候,不能直接选择镜像,而是要创建结束后再手动选择文件。
成功后,一一配置:
Mode and IP Information配置:
Remote Management配置:
检查是否成功:
4.实验验证
访问密网网关测试:
ping测试:
攻击机winxp去ping metaploitable_ubuntu:
seed去ping metaploitable_ubuntu
在密网网关开启监听:
监听到数据包:
5.学习中遇到的问题及解决
- 问题1:Roo密网虚拟机启动失败
- 问题1解决方案:重新新建虚拟机,在创建成功之后再挂载镜像文件。
6.学习感悟、思考等
通过本次攻防实验,我在虚拟机环境中完整搭建了一套蜜罐网络体系,深入实践了攻击机、靶机与蜜网网关的协同配置,并掌握了利用网卡混杂模式捕获攻击流量的关键技术,对蜜罐系统的运行机制建立了系统性的认知。
实验过程中,我重点学习了ROO蜜网虚拟机作为蜜网核心网关的核心定位。通过动手配置,我理解了其通过限制外联流量防止蜜罐被滥用、全量记录攻击数据、深度还原攻击链路的工作机制,完成了虚拟机环境搭建、双网卡配置及蜜网组网操作。
此次实验不仅培养了我的网络攻防实战基本能力,更让我认识到蜜罐技术的独特价值,为后续开展更复杂的渗透测试与防御研究奠定了坚实的技术基础。