學習總結
一個基礎的網絡攻防實驗環境包括以下部分:
- 靶機:包含系統和應用程序漏洞,作為被攻擊的目標。
- 攻擊機:安裝有一些專用的攻擊軟件,可以對別的主機進行網絡攻擊。
- 攻擊檢測、分析與防御平台:可以對網路的流量進行分析,達到攻擊檢測與防御的功能。
- 網絡連接:通過網絡將靶機、攻擊機和平台連接在一起。
網絡拓撲圖如下:
實驗過程
環境搭建
攻擊機kali的搭建
打開kali的官網,點擊DOWNLOAD。
選擇Virtual Machines。
選擇64bit的VMware。
下載完成后解壓文件,這是已經配置好的kali虛擬機,點擊后綴為vmx的文件即可。
靶機Metasploitable的搭建
Metasploitable是Rapid7 Metasploit團隊搭建的,去Rapid7官網找Metasploitable下載即可。
先填寫一下基本信息獲取下載資格。
點擊下載即可。
與kali安裝同理,解壓后點擊后綴為vmx的文件即可。
SEEDUbuntu搭建
打開SEED lab官網,點擊SEED labs
選擇SEED Labs 2.0
選擇System Security
這里選上下都可
選擇SEEDUbuntu-16.04 VM
然后選擇想要的對應版本下載即可
這里下載的是VirtualBox的虛擬機,我們解壓之后使用VirtualBox創建一個新的虛擬機,選擇對應的文件即可。
密網網關Honeywall搭建
Honeywall官網下載報錯誤碼523,那就使用老師的資源即可。
在VMware中新建虛擬機,因鏡像較老硬件兼容性選擇低點
選擇稍后安裝空白硬盤
路徑和名字之類的自己定義,其他的使用默認的即可。
環境配置
靶機Metasploitable配置
打開VMware,編輯網絡虛擬器,修改僅主機模式下的ip和子網掩碼,並關閉DHCP服務。
修改NAT模式下的ip和子網掩碼。
修改NAT設置中的網關ip。
修改DHCP中的IP地址范圍。
開啟靶機Metasploitable,用戶名和密碼皆為msfadmin,使用命令編輯網絡設置
sudo vim /etc/rc.local
在最后一行加上ip、子網掩碼等信息
使用命令重啟機器並查看網絡情況
sudo reboot
ifconfig
可以看到ip、子網掩碼等信息已經設置成功。
kali配置
在虛擬機->網絡適配器中選擇NMnet8(NAT模式)
開啟kali虛擬機,用戶名和密碼為kali,使用命令查看ip
ifconfig
可以看到攻擊機kali的網段在之前設置的DHCP的范圍中。
SEEDUbuntu配置
SEED ubuntu這里是用virtualbox安裝的,更改ip地址的話可以在全局設定中增加想要的IP地址
然后在網絡中將連接方式改為我們剛剛新增的網絡
開啟SEEDUbuntu,使用命令查看ip
ifconfig
蜜網網關roo配置
在VMware中打開roo的虛擬機設置,增加兩個網絡適配器,一個設為僅主機模式,一個設為VMnet8(NAT)模式
開啟roo虛擬機,用戶名是roo,密碼honey,使用命令進行提權,root密碼也是honey
su -
第一次開機需要做一些基礎設置,選擇4
這里選擇2默認即可
接下來點ok等機器重啟,機器重啟后就開始正式的配置。選擇1配置ip和模式
選擇2配置蜜罐IP地址,設置IP地址為“192.168.159.123 192.168.159.124”
接下來就不一一截圖了,按照上述類似操作依次配置廣播地址
配置蜜網網段
配置蜜網網關的ip
配置蜜網網關的子網掩碼
配置蜜網網關的路由
配置蜜罐的網段
設置Sebek ip,這一步會讓選擇端口和sebek包行為,默認即可。
到這一步已經完全配置成功,退出重啟即可。
實驗結果
在roo虛擬機中使用如下命令開啟監聽
tcpdump -i eth0 icmp
在kali虛擬機和SEEDUbuntu中ping靶機Metasploitable,可以在kali和SEEDUbuntu中看到回顯信息,在roo虛擬機中看到捕獲的流量。
遇到的問題及解決
honeywall官網下載資源錯誤碼523
這應該是服務器掛了,使用老師提供的roo鏡像資源即可。
honeywall進入不了配置界面
這是因為在安裝鏡像時沒有選擇稍后安全操作系統的方式安裝,而是直接使用鏡像光盤文件安裝,導致配置都已默認設置好。比較笨的方法就是重裝虛擬機,或者在命令行中輸入“menu”命令也可以進入配置界面。
vitrualbox網絡設置問題
SEEDUbuntu下載的是vitrualbox,不像VMware一樣對網絡配置具有豐富的可控性,如果使用添加新網絡的方式來確保SEEDUbuntu與靶機處於一個網段,會發現不能ping通。這個有兩個解決方法,一個是使用VMware版本的SEEDUbuntu,二是SEEDUbuntu改用NAT網絡方式,可以ping通,可以通過編輯文件的方式確保SEEDUbuntu與靶機處於一個網段,也可以不改ip,在蜜網網關注意設置對應的ip段也可捕獲SEEDUbuntu與靶機的通信。
honeywall網址訪問問題
我下載的是最新的kali版本,在使用kali的火狐瀏覽器訪問honeywall網站時,會因網站tls不安全而禁止訪問。這也有兩種解決方法,一個是更改瀏覽器設置降低瀏覽器安全權限,而個是使用winxp上的ie瀏覽器可以直接訪問。
靶機ip划分問題
靶機我們給的子網段是128,而實驗參考視頻中使用的是123,與分配的子網段不符,這里將靶機ip修改為192.168.154.140,將靶機網關修改為192.168.154.129,重新進行ping測試。
學習感想和體會
做實驗的時候沒怎么參考視頻,靠自己摸索着做,雖然走了一些彎路,但也鍛煉了自己解決問題的能力。