1 實驗目的
本次實踐的目的是配置一套網絡攻防的實驗環境。利用提供的虛擬機鏡像和VMWare Workstations軟件,在自己的筆記本電腦部署一套個人版網絡攻防實踐環境,包括了一台攻擊機、一台靶機和蜜網網關,並進行網絡連通性測試,確保各個虛擬機能夠正常聯通。撰寫詳細實驗報告,細致說明安裝和配置過程(截圖)、過程說明、發現問題和解決問題過程,以及最后測試結果。
需要完成以下任務:
(1)畫出攻防環境的拓撲結構圖(包含IP地址)。
(2)需要詳細描述從開始安裝到配置結束的環境搭建過程。
(3)測試攻擊機、靶機和蜜網網關的連通性,並截圖。
(4)需要詳細描述攻擊機、靶機和蜜網網關的功能以及所包含相關攻防軟件的功能。
(5)總結學習中遇到的問題及解決方案。
(6)總結學習感想和體會。
2 實驗准備
實驗之前需要准備各種實驗材料:
(1)虛擬機軟件:VMWare Workstations;
(2)攻擊機鏡像:kali;
(3)靶機鏡像:Metasploitable2;
(4)蜜網鏡像:roo-1.4.hw-20090425114542;
圖2-1 實驗材料
3 配置網絡
首先需要建立兩個虛擬網絡,一個是模擬內部網絡,部署靶機和蜜網,一個是模擬外部網絡,部署攻擊機。所有這些都在虛擬機上進行。
圖3-1 虛擬機界面
3.1 配置Vmnet1(靶機網段)
將Vmnet1(靶機網段)設為僅主機模式。
子網IP為192.168.200.128。
子網掩碼為255.255.255.128。
關閉本地DHCP服務,無需動態分配IP。
圖3-2 Vmnet1配置圖
3.2 配置Vmnet8(攻擊網段)
將Vmnet8(攻擊網段)設為NAT模式。
子網IP為192.168.200.0。
子網掩碼為255.255.255.128。
圖3-3 Vmnet8配置圖
之后進行NAT設置:
網關IP設為192.168.200.1。
圖3-4 網關IP配置圖
之后進行DHCP設置:
設置動態分配的IP范圍為192.168.200.2~192.168.200.120。還需要留出幾位給Vmnet1中的靶機使用。
圖3-5 DHCP配置圖
至此網絡配置完畢。
4 配置靶機
通過打開靶機的鏡像文件,打開靶機(Metasploitable2)。
圖4-1 靶機的鏡像文件
輸入用戶名和密碼(均為msfadmin),進入虛擬機。
圖4-2 靶機界面
輸入命令"sudo vim /etc/rc.local"。進入修改網絡配置文件,在此期間需要再次輸入密碼。
圖4-3 網絡配置文件
在"exit 0"前填入IP設置:"ifconfig eth0 192.168.200.129 netmask 255.255.255.128 route add default gw 192.168.200.1"。設置IP地址為192.168.200.129。之后按"Esc"后輸入":wq"保存,再輸入"sudo reboot"重啟該虛擬機。
圖4-4 修改后的網絡配置文件
再次登錄輸入"ifconfig",查看IP地址。IP地址確實為192.168.200.129。
圖4-5 IP地址
至此靶機配置完畢。
5 配置攻擊機
配置攻擊機的網段到VMnet8(攻擊網段)。注意要確保攻擊機是關機狀態,否則無法進行。
圖5-1 配置攻擊機的網段
在攻擊機的命令行中輸入"ip addr"查看自動分配的IP地址。可以看出IP為192.168.200.4/25,處在攻擊網段中。
圖5-2 查看攻擊機的IP
至此攻擊機配置完成。
6 配置蜜罐網絡
6.1 安裝蜜罐
首先下載相關鏡像文件。
圖6-1 蜜網鏡像文件
創建新的虛擬機,自定義模式。
圖6-2 創建新的虛擬機
選擇較老的兼容版本。
圖6-3 兼容版本選擇
選擇稍后安裝。
圖6-4 稍后安裝
系統選Linux,版本選CentOS。
圖6-5 系統和版本
選擇安裝位置和虛擬機名,之后選默認設置。
圖6-6 安裝位置和虛擬機名
導入鏡像文件,選擇對應的文件路徑。
圖6-7 導入鏡像文件
6.2 配置網卡
在虛擬機中配置網卡,添加兩個網卡,一個連接靶機網段,一個連接攻擊網段。
圖6-8 添加網卡
第一個網卡連接靶機網段選擇僅主機模式。
圖6-9 連接靶機網段的網卡
第二個網卡連接攻擊機網段VMnet8選擇NAT模式。
圖6-9 連接攻擊機網段的網卡
6.3 配置蜜罐
啟動虛擬機進行配置。用戶名是"roo",密碼是"honey"。輸入"su –",密碼還是honey,進行提權。
圖6-10 進去蜜網
選擇進去蜜網網關(4),進行設置。
圖6-11 主菜單
選擇默認模式。
圖6-12 默認模式
加載完畢后開始正式配置,選擇(4)。
圖6-13 開始配置
6.3.1 模式和IP信息的配置
首先配置蜜罐的是模式和IP信息(1)。
圖6-14 模式和IP信息
圖6-15 開始配置IP
輸入靶機的IP:192.168.200.129
圖6-16 靶機IP
然后是配置廣播地址。
圖6-17 開始配置廣播地址
進入虛擬網絡編輯器查看相關信息。
廣播地址為:192.168.200.127;
子網IP為:192.168.200.0;
子網掩碼為:255.255.255.128;
圖6-18 虛擬網絡編輯器
配置廣播地址為192.168.200.127。
圖6-19 廣播地址
再設置蜜網網段。
圖6-20 開始配置蜜網網段
蜜網網段IP設置為:192.168.200.0/25。
圖6-21 蜜網網段IP
至此蜜罐信息的配置模式和IP信息配置完畢。
6.3.2 蜜網網關管理配置
選擇遠程管理(2)。
圖6-22 遠程管理
首先配置IP。
圖6-23 開始配置IP
設置為192.168.200.8。
圖6-24 IP地址配置
然后設置子網掩碼。
圖6-25 開始配置子網掩碼
子網掩碼為255.255.255.128。
圖6-26 子網掩碼
再設置路由。
圖6-27 開始設置路由
查看網關IP:192.168.200.2。
圖6-28 查看網關IP
設置路由為192.168.200.2。
圖6-29 路由IP
最后進入"manager"設置蜜罐IP。
圖6-30 Manager
設為192.168.200.0/25。
圖6-31 蜜罐IP
6.3.3 Sebek的配置
選擇Sebek(11)。
圖6-32 遠程管理
和蜜網網關IP一致為192.168.200.8。
圖6-33 設置IP
UDP端口使用默認的1101。
圖6-34 設置UDP端口號
對包的行為選擇丟棄。
圖6-35 包的設置
至此所有配置完成。
6.3.4 查看配置和進行監聽
使用"ifconfig"查看配置,使用"Shift+Pgup"查看上文。
圖6-36 查看配置
可以看出eth2的IP地址是192.168.200.8,配置無誤。
輸入指令"tcpdump -i eth0 icmp"。用這個接口開始監聽icmp報文。
圖6-35 監聽icmp報文
7 結果測試
使用攻擊機ping靶機(192.168.200.129)。
圖7.1 攻擊機ping靶機
查看蜜罐,可以看到監聽到的相關報文。
圖7.2 蜜罐監聽到的報文
測試無誤,證明實驗成功,網絡攻防的實驗環境配置完成。
整個實驗系統的拓撲結構圖如下圖所示:
圖7-3 網絡攻防的實驗環境拓撲結構圖
8 學習中遇到的問題及解決方案
8.1 Linux系統操作的相關問題
(1)密碼的輸入
輸入密碼的時候,不會顯示,這時候不是死機,輸入密碼后,按回車可以繼續進行。
(2)退出編輯和保存
視頻中沒有教修改網絡配置文件后保存和退出的方法。具體方法是按"Esc"退出,后輸入":wq"保存。
(3)查看上文
當信息被遮擋,可以使用"Shift+Pgup"查看上文。
8.2 勘誤
(1)靶機IP地址
視頻中將靶機的IP配為192.168.200.123。不在Vmnet1網段子網IP為192.168.200.128/25的網段。因此改為設置IP地址為192.168.200.129,放入Vmnet1網段。
8.3 其他問題
(1)無法進行虛擬機配置
在VMWare Workstations軟件中對某個虛擬機進行配置,需要先將對應虛擬機關機,再配置,否則界面是灰色無法進行。
9 學習感想和體會
通過本次實驗,我學習到了很多知識,包括基本的網絡安全知識,配置虛擬機的知識,Linux系統操作的知識等等。成功的部署了一套個人的網絡攻防實踐環境,其中包括攻擊機、靶機、蜜網網關,並進行了網絡連通性測試。極大的提高了我的動手實踐能力,自我解決問題的能力,主動學習的能力,雖然還有很多問題似懂非懂,但為之后的網絡攻防學習打下基礎,讓我受益匪淺。