在Win平台上基于VMware软件部署并测试第三代虚拟蜜网资料下载.pdf

在Win平台上基于VMware软件部署并测试第三代虚拟蜜网资料下载.pdf

《在Win平台上基于VMware软件部署并测试第三代虚拟蜜网资料下载.pdf》由会员分享，可在线阅读，更多相关《在Win平台上基于VMware软件部署并测试第三代虚拟蜜网资料下载.pdf（36页珍藏版）》请在冰点文库上搜索。

请首先阅读狩猎女神项目技术报告基于VMware的第三代虚拟Honeynet部署以及攻击实例分析（Linux平台上部署和测试第三代虚拟蜜网文档），其中有关类似部分将不再赘述。

二、VMware软件介绍VMware软件是VMware软件版本主要有VMwarePlayer（免费）、VMwareWorkstation、VMwareGSXServer（目前license免费）、VMwareESXServer等版本，本文档基于最普遍使用的VMwareWorkstation，具体版本为VMware-workstation-5.5.1-19175。

运行在VMware虚拟机软件上操作系统的网络连接方式有三种：

?

桥接方式（Bridge）：

在桥接方式下，VMware模拟一个虚拟的网卡给客户系统，主系统对于客户系统来说相当于是一个桥接器。

客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。

图1VMware支持的桥接连接方式示意图?

网络地址转换方式（NAT）：

在这种方式下，客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。

在这种方式下，客户系统对于外部不可见。

图2VMware支持的NAT连接方式示意图?

主机方式（Host-Only）：

在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络。

在这种方式下，如果主系统是用公网IP连接Internet，那客户系统只能用私有IP。

但是如果我们另外安装一个系统通过桥接方式连接Internet（这时这个系统成为一个桥接器），则我们可以设置这些客户系统的IP为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的虚拟蜜网。

图3VMware支持的host-only连接方式示意图三、网络拓扑及软硬件需求3.1网络拓扑网络拓扑图4虚拟蜜网网络拓扑结构注：

若宿主主机只有一块网卡，则也可在一块网卡上绑定多个IP地址，如下图实际配置中将IP地址192.168.0.2（攻击机IP）和192.168.1.2（控制机IP）均绑定到宿主主机网卡上。

图5将192.168.0.2和192.168.1.2都绑定到网卡上3.2软硬件需求软硬件需求基于Win32平台构建虚拟蜜网的硬件配置建议如下：

至少P4CPU，建议2.0GHz以上?

至少512M内存，建议1G以上?

至少20G硬盘，建议40G以上?

联网的100M网卡软件配置包括：

宿主主机：

操作系统：

Win2K/WinXP，本文档基于WindowsXPSP2?

VMwareWorkstationforWin32，本文档使用VMware-workstation-5.5.1-19175蜜网网关虚拟机：

RooHoneywallCDROMv1.0-hw189蜜罐虚拟机（任意，本文档使用）：

Windows2KPro四、虚拟蜜网的构建4.1VMware软件安装与配置软件安装与配置默认方式安装VMwareWorkstation软件全过程。

图6安装完VMwareWorkstation4.2安装蜜网网关虚拟机安装蜜网网关虚拟机1.新建虚拟机，选择Custom安装图7选择Custom安装2.选择蜜网网关虚拟机的操作系统类型图8操作系统选择为：

Linux，版本选择为RedHatLinux3.设置蜜网网关虚拟机命名与路径图9设置蜜网网关虚拟机命名与路径4.设置蜜网网关虚拟硬件图10设置虚拟CPU，选择单处理器图11设置蜜网网关虚拟机内存大小，建议256M图12设置网络连接方式，选择桥接模式，后面需另加两个网卡图13设置虚拟硬盘接口类型，SCSI接口选择为BusLogic图14创建虚拟硬盘图15设置虚拟硬盘为SCSI硬盘图16设置虚拟硬盘大小为4G，无需立即分配全部空间图17指定虚拟硬盘文件的绝对路径，注意必须给出全绝对路径，不要出现中文字符注意必须给出全绝对路径，不要出现中文字符5.添加两块网卡图18选择虚拟机配置图19添加两块网卡，其中Ethernet2设为Host-only,Ethernet3设为Bridged6.设置CDROM为蜜网网关Roov1.0-hw189软件ISO图20设置CD-ROM使用Roo蜜网网关软件ISO7.安装蜜网网关软件启动蜜网网关虚拟机，进入如下安装界面。

图21安装蜜网网关软件，键入回车键确认开始安装图22蜜网网关软件安装过程图23蜜网网关软件安装完毕，进入登录界面4.3配置蜜网网关虚拟机配置蜜网网关虚拟机1.登录蜜网网关以roo/honey缺省用户/口令登录，使用su-提升到root帐号，缺省口令也为honey图24登录蜜网网关2.蜜网网关初始配置图25蜜网网关初始配置界面如未进入此初始配置界面，则在shell中执行图26蜜网网关配置菜单选项界面，选择4HoneywallConfiguration进行配置图27对TheHoneynetProject的不承担风险声明选择Yes图28选择Defaults配置方式3.蜜罐信息配置命令行menu进入蜜网网关配置界面，选择4HoneyWallConfiguration选择1ModeandIPInformation选择2HoneypotIPAddress图29蜜罐IP信息配置，空格分隔多个IP地址，注：

目前Roo尚不支持蜜网网络中具有不同网段的蜜罐IP地址选择5LANBroadcastAddress图30蜜网网段的广播IP地址选择6LANCIDRPrefix图31蜜网网段配置，CIDR格式4.蜜网网关管理配置蜜网网关配置主界面，选择4HoneyWallConfiguration选择2RemoteManagement选择1ManagementIPAddress图32设置管理口的IP地址选择2ManagementNetmask图33管理口IP地址的掩码选择3ManagementGateway图34管理口的网关选择6ManagementDNSServers图35管理口的DNS服务器设置选择7Manager，设置可以管理蜜网网关的远程控制端IP范围，以CIDR格式填写，可有多个IP网段，中间用空格分隔图36蜜网网关管理网段5.Sebek服务器端配置蜜网网关配置主界面，选择4HoneyWallConfiguration选择11Sebek图37Sebek服务器端IP地址，设置为管理口IP目标端口选择为1101，Sebek数据包处理选项选择为Drop4.4测试蜜网网关的远程管理测试蜜网网关的远程管理1.测试ssh远程管理使用SecureCRT软件，远程ssh连接蜜网网关管理口图38SSH连接蜜网网关管理口2.测试walleye远程访问图39远程连接Walleye图40Walleye远程管理界面4.5（可选可选）对蜜网网关软件进行补丁对蜜网网关软件进行补丁通过Scp或SecureFX向蜜网网关上传patch.tar.gz文件tar-zxfpatch.tar.gzcdpatchshpatch.sh图41给蜜网网关Roov1.0-hw189打补丁4.6安装虚拟机蜜罐安装虚拟机蜜罐1.新建虚拟机，配置虚拟硬件图42蜜罐虚拟机虚拟硬件设置2.安装虚拟机操作系统使用自启动安装光盘或ISO文件，典型安装Win32或Linux操作系统。

3.配置虚拟机蜜罐的网络接口图43虚拟机蜜罐的IP地址设置4.测试虚拟机蜜罐和宿主主机之间的网络连接在宿主主机上ping虚拟机蜜罐IP图44测试宿主主机到虚拟机的连通性在虚拟机蜜罐上ping宿主主机IP图45测试虚拟机到宿主主机的连通性在蜜网网关上监听ICMPping包是否通过外网口和内网口tcpdump-ieth0icmptcpdump-ieth1icmp通过测试后，说明虚拟机蜜罐和外部网络之间的网络连接（通过蜜网网关eth0和eth1所构成的网桥）没有问题。

4.7虚拟机蜜罐上安装虚拟机蜜罐上安装Sebek客户端客户端1.在Win32虚拟机蜜罐上安装Sebek客户端将Sebek-Win32-3.0.4.zip（http:

/46安装SebekWin32系统监控软件在蜜网网关虚拟机上执行ifconfigeth2，得到管理口eth2的MAC地址，填入下图所示的Sebek服务器端配置对话框。

图47配置SebekWin32系统监控软件随机生成或填写MagicNumber，需保证同一蜜网中每台蜜罐主机上均安装Sebek，且Sebek使用的MagicNumber保持一致，使得Sebek的上传通讯在蜜网中对攻击者隐蔽（即使攻击者获取了蜜罐主机的控制权，并启用网络监听器进行监听）。

重新启动主机，建立Snapshot。

五、攻击测试5.1漏洞扫描测试漏洞扫描测试图48XScan对虚拟机蜜罐进行漏洞扫描测试在攻击机（即宿主主机）上运行XScan漏洞扫描工具对192.168.0.4虚拟机蜜罐实施漏洞扫描。

图49蜜网网关捕获的漏洞扫描过程的摘要视图在蜜网网关上对XScan漏洞扫描过程中的每个网络连接都进行了完备的记录，从图49蜜网网关数据摘要视图可发现正在扫描的192.168.0.2攻击机IP，图50则显示了其扫描的每个网络连接详细信息。

图50扫描网络连接视图5.2渗透攻击测试渗透攻击测试1.在宿主主机上安装Metasploit渗透攻击工具从http:

/Framework2.6forWindows并安装。

2.Metasploit渗透攻击测试运行MSFConsole，按图输入针对MS05-039即插即用服务漏洞的渗透攻击命令，获得反向的shell。

（注：

需打开宿主主机的个人防火墙，如微软防火墙，使得能够接收4444端口的连入）。

图51MS05-039漏洞渗透攻击过程3.对蜜网网关记录的攻击数据进行分析，验证蜜网的攻击数据捕获和分析功能图52蜜网网关对渗透攻击测试的摘要视图图53向蜜罐主机发起的向内连接视图（对应check和exploit）图54向外发起的反向shell连接图55反向Shell连接对应的详细进程视图图56反向Shell连接中的键击记录图57反向Shell连接原始数据包流重组结果六、总结本文档给出了在Win32平台基于VMWare软件部署并测试第三代虚拟蜜网的详细步骤和过程，最终的攻击测试过程和蜜网网关对这些攻击测试的数据捕获和分析能力说明了第三代蜜网技术已经达到了较为成熟的阶段，在对互联网安全威胁的捕获分析方面可以发挥较大的作用。