20252808 《网络攻防实践》第1次作业
1.知识点梳理与总结
1.1蜜罐、蜜网和蜜网网关的概念:
蜜罐:这是一种软件应用,作为入侵诱饵吸引黑客攻击。通过监控入侵行为,可以了解攻击手段、最新漏洞,并收集黑客工具和社交网络信息。
蜜网:当多个蜜罐被网络连接起来,模拟一个大型网络环境,用以吸引黑客攻击并观察入侵过程,评估安全措施的有效性。
蜜网网关:在第三代蜜网技术中,蜜网网关作为一个透明的攻击行为捕获与分析平台,结合 Sebek 软件在蜜罐主机上记录攻击行为。
1.2蜜网网关在网络攻防环境中扮演着关键角色,其工作机制主要包括以下几个方面:
网桥功能:蜜网网关作为一个网桥,通过桥接模式将原有的局域网扩展,使得蜜罐系统内的蜜罐可以被同一局域网内的主机访问。
连接配置:蜜网网关需要安装三块网卡,第一块使用桥接模式用于外部访问蜜网;第二块使用仅主机模式建立蜜网;第三块也使用仅主机模式,用于访问蜜网网关的控制端。
蜜罐IP配置:在蜜网网关的设置中,需要添加蜜罐主机的IP地址,多个蜜罐主机的IP地址需要用空格隔开。%0D%0A蜜网网络设置:蜜网网关还需要对蜜网所在网络进行设置,包括广播地址和CIDR。
远程管理配置:蜜网网关支持远程通过SSH控制网关,需要对远程管理进行配置。
Sebek软件:在蜜罐主机上通过Sebek软件记录系统攻击行为,蜜网网关则用于捕获和分析这些攻击行为。
透明网关:蜜网网关作为一个透明的攻击行为捕获与分析平台,能够在蜜罐主机上记录攻击行为,同时对攻击者的行为进行监测和分析。
2.攻防环境搭建过程
2.1网络拓扑图的绘制
根据环境设置两个网段,192.168.200.0/25和192.168.200.128/25,一个网段放攻击机,另一个放靶机,其中honeywall就放在中间做一个透明代理,且本身分配192.168.200.8这个ip,这样攻击机就可以通过web端访问honeywall。而且攻击机也可以通过路由代理直接访问靶机。
2.2配置虚拟机网络
将VMnet1为仅主机模式,根据网络拓扑图设置VMnet1的ip为192.168.200.128,子网掩码 为255.255.255.128,也就是25位
然后设置VMnet8,也就是NAT模式的配置,将子网设置为192.168.200.0/25,这样VMnet8和VMnet1就是两个网段了。
更改网关为192.168.200.1
更改DHCP设置进行起始和结束IP设定:
2.3配置攻击机
2.3.1 攻击机kali配置
打开Kali虚拟机的网络适配器,将其网络模式设置为VMnet8(NAT模式)以连接外网。登录Kali后输入命令查看Kali攻击机的网络配置,DHCP分配的IP地址为192.168.200.2处于VMnet8分配的地址网段中,Kali配置成功
2.3.2 攻击机WinXPattacker配置
打开虚拟机网络适配器设置,将攻击机 WinXPattacker 的网络连接至 VMnet8(外网模式)。启动虚拟机后输入命令查看虚拟机的网络配置如下图所示,IP地址为192.168.200.3
2.3.3 攻击机SEEDUbuntu配置
打开SEED虚拟机的网络适配器设置,将SEED连接至VMnet8(外网)。启动SEED虚拟机登录用户后,输入ip addr命令查看SEED的网络配置如图所示,IP地址为192.168.200.4
2.4 配置内网靶机
2.4.1 靶机Metaploitable配置
打开虚拟网络配置器,将Metaploitable靶机连接至内网VMnet1.执行命令 sudo vim /etc/rc.local,输入密码 msfadmin 完成编辑。登录后使用 vim 打开 rc.local 文件,进入编辑模式,添加如下配置命令:
ifconfig eth0 192.168.200.130 netmask 255.255.255.128 route add default gw 192.168.200.129
重启后,输出命令ifconfig查看,刚才的配置成功.
2.4.2 靶机Win2Kserver配置
打开虚拟机 Win2k 的网络适配器设置,将其网络连接绑定至指定虚拟网络 VMnet1(内网)。修改 IP 地址:依次打开网络和拨号连接→本地连接→属性→Internet 协议属性,在对应位置填写 IP 地址、子网掩码、默认网关及 DNS 服务器地址。使用ipconfig查看网络配置,显示刚才的配置成功
2.5 安装配置密网网关
2.5.1 honeywall安装及配置
同先前一致新建虚拟机并导入镜像文件,不同之处在于要注意因为iso文件比较老,所以应选择版本低一些的类型。选择稍后安装。与前面不同的是,此处网络配置器需要添加两个新网卡。
2.5.2 蜜罐信息设置
完成后仍进入第四个配置: 进入第二个配置IP。进入第二个配置蜜罐IP。更改原先的IP为:192.168.200.130 192.168.200.131。配置完成后,配置LAN广播地址,更改为192.168.200.127。配置完成后,配置CIDR为:192.168.200.0/25。以上蜜罐信息全部设置完成,下面进行蜜网网关设置。
2.5.3 蜜网网关设置
选择remote management进行配置:配置 management ip:192.168.200.8。management netmask:255.255.255.128。management gateway:192.168.200.1。manager:192.168.200.0/25。
选择第一个配置IP:更改为:192.168.200.8。选择第二个更改为:255.255.255.128。更改第三个为:192.168.200.1。更改第四个为:192.168.200.0/25。
2.5.4 Seback设置(与蜜网网关IP设为一致)均设置为:192.168.200.8。默认1101端口,选择方式为drop 以上全部配置完成,退出后进行验证,使用命令ifconfig进行验证。
2.6 蜜网网关测试
2.6.1 验证配置成功
打开虚拟机WinXPattacker,在其中打开一个浏览器并输入网址:https://192.168.200.8。
登陆成功进入界面,在这个页面可进行分析经过蜜网的流量,验证配置成功。
2.6.2 利用kali进行连通性测试:用kali ping WinXPattacker地址为:192.168.200.2。连通成功,有报文出现。
回到HoneyWall也有报文出现,可以监听到icmp包,则测试成功。
3. 学习中遇到的问题及解决
在这次实验中,主要问题在于kali安装过程中,卡了两天时间,最终发现在安装后未点击成功所导致。问题:kali安装完成后,在进行设置过程中,一直黑屏左上角光标闪烁,出现不了蓝色界面。解决方案:查找问题无果后卸载重装,用多种方式进行安装,最终找到问题在于未成功点击配置界面。具体过程可见3.1.1-3.1.2小节。
4. 学习感悟与思考
通过本次实验,使我收获颇丰。
- 本次实验的目标是建立一个基础的网络攻防环境,其中我首次学习了蜜网网关的概念。蜜网网关作为一种入侵诱饵,能够吸引黑客进行攻击。通过监控网络接口 eth0,可以捕获并分析网络数据,从而了解入侵的具体方式。此外,这种方法还能帮助我们及时掌握针对组织服务器的最新攻击手段和潜在漏洞。尽管目前仅使用了监听 ICMP 数据包的基本命令,但对于更复杂的操作和功能,还尚未涉足。因此,我认识到需要进一步深入学习,以便更有效地利用蜜网网关来增强有关网络安全防护的能力。
- 在这次实验中我深入学习掌握如何构建网络攻防实验环境,认识到在配置环境过程中所需要的各种虚拟机组件以及蜜网网关。不仅掌握了各组件配置,还对于虚拟机有了更进一步的认识。在搭建环境过程中让我重温Linux相关知识,提升对于Linux虚拟机环境的配置以及使用。不得不说,在这次实验中,我加深了对于网络攻防的知识学习,进一步巩固了相关知识,未后面开展网络攻防实验打下坚实的基础。
- 此外,通过这次实验,我还学会了如何在博客上写markdown文件,虽然上学期Linux课程学会写markdown文件但全在VSCode中转化为PDF形式存入文件,并没有在博客中。