20221915 2022-2023-2 《网络攻防实践》第1周作业
1. 学习总结
一个基础的网络攻防实验环境包括:
- 靶机:包含系统和应用程序漏洞,作为被攻击的目标。基础环境可以是Linux也可以是Windows XP
- 攻击机:安装有一些专用的攻击软件,可以对别的主机进行网络攻击。Linux因为有更多更强的攻击软件,更适合作为攻击机的环境平台。
- 攻击检测、分析与防御平台:可以对网路的流量进行分析,达到攻击检测与防御的功能。攻击检测、分析与防御平台最好的位置在靶机的网关。
- 网络连接:通过网络将上述三方(靶机、攻击机和平台)连接在一起。
| 镜像名称 | 镜像类型 | 用户名 | 密码 | su/su - 提权密码 | IP地址 | 更新 |
|---|---|---|---|---|---|---|
| kali | linux攻击机 | kali | kali | - | 192.168.200.4 | |
| Metasploitable2-Linux | Linux靶机 | msfadmin | msfadmin | - | 192.168.200.123 | 102.168.200.130 |
| SEEDUbuntu | linux攻击机/靶机 | seed | dees | seedubuntu | 192.168.200.3 | |
| WinXpattacker | windows攻击机 | - | mima1234 | - | 192.168.200.5 | |
| win2kServer | windows靶机 | administrator | mima1234 | - | 192.168.200.125 | 102.168.200.131 |
| Honey Wall roo-v1.4 | 蜜网网关 | roo | honey | honey | 192.168.200.8 |
2. 攻防环境搭建详细过程
(图文并茂,该部分是重点)
利用提供的虚拟机镜像和VMWare Workstations软件,在自己的笔记本电脑或者PC上部署一套个人版网络攻防实践环境,至少包括一台攻击机、一台靶机、SEED虚拟机和蜜网网关,并进行网络连通性测试,确保各个虚拟机能够正常联通。撰写详细实验报告,细致说明安装和配置过程(截图)、过程说明、发现问题和解决问题过程,以及最后测试结果。
- 画出攻防环境的拓扑结构图(包含IP地址)
- 需要详细描述从开始安装到配置结束的环境搭建过程
- 测试攻击机、靶机、SEED虚拟机和蜜网网关的连通性,并截图。
- 需要详细描述攻击机、靶机、SEED虚拟机和蜜网网关的功能以及所包含相关攻防软件的功能
- 由于教材中提到的环境和相关软件均比较老(2010),仔细检查攻击机、靶机、SEED虚拟机和蜜网网关以及各个系统上的软件,如果比较老,请更新到比较新的便于后期攻防实验的版本,包括操作系统和相关软件,并详细说明更新过程。【可选】
2.1 攻防环境的拓扑结构图(包含IP地址)
2.2 安装到配置结束的环境搭建过程
① 配置VM
- 设置VM的虚拟网络编辑器,点击更改设置
- 选择VMnet1,将子网IP设置为192.168.200.128,子网掩码设置为255.255.255.128,取消使用本地DHCP服务将IP地址分配给虚拟机,并且选择仅主机模式。
- 选择VMnet8,将子网IP设置为192.168.200.0,子网掩码设置为255.255.255.128,选择NAT模式。
- 对NAT设置进行更改,将网关IP设置为192.168.200.1。
- 对DHCP设置进行更改,起始IP地址设置为192.168.200.2,结束IP地址设置为192.168.200.120。
② 配置Win2Kserver靶机
- 网卡设置如下:
- 开启虚拟机,ALT+CTRL+DEL进入系统,账号administrator,密码mima1234
windows靶机安装完成。
③ 配置Linux Metaolitable靶机
-
编辑rc.local文件
-
在文件尾加入蓝框中的数据。
-
保存文件后,使用ifconfig命令查看ip地址,可以发现ip地址为192.168.200.123,说明配置成功。
④ 配置Seed Ubuntu16攻击机
- 新建虚拟机→自定义→下一步→稍后安装操作系统→操作系统选择Linux,版本选择Ubuntu→输入名称与位置→处理器数量设置为1→内存设置为1GB→使用网络地址转换(NAT)→下一步→下一步→使用现有虚拟磁盘→选择SEEDubuntu16的.vmx文件→点击转换,确定后就安装好了
2. 点击编辑虚拟机设置
3. 选择网络适配器,将网络连接改为自定义中的VMnet8(NAT模式)
4. 打开虚拟机,使用ifconfig命令查看ip地址,可以发现该虚拟机的ip地址为192.168.200.3,在攻击网段中,配置成功。
⑤ 配置kali攻击机
-
下载kali压缩包,解压后打开即可。
-
与配置Seed Ubuntu16攻击机一样,依旧将网络连接改成VMnet8即可
-
打开虚拟机,使用ifconfig命令查看ip地址,ip地址为192.168.200.7,在攻击网段中,配置成功。
⑥ 配置WinXPattcker攻击机
-
打开.vmx文件
-
与配置Seed Ubuntu16攻击机一样,依旧将网络连接改成VMnet8即可
-
打开虚拟机,使用ipconfig命令查看ip地址,ip地址为192.168.200.4,在攻击网段中,配置成功。
⑦ 蜜网网关的配置
-
新建虚拟机→因为版本过低,所以把硬件兼容性选低一点,我选择的是Workstation6.5-7.x→稍后安装操作系统→操作系统选择Linux,版本选择CentOS 6→输入名称与位置→处理器数量设置为1→内存设置为1GB→使用网络地址转换(NAT)→下一步→下一步→创建新虚拟磁盘
-
点击编辑虚拟机设置,选择CD/DVD(IDE),然后在连接里选择ISO映像文件,选择相应的文件。
-
将网络适配器改为NAT模式,然后添加两个网卡,一个设置成仅主机模式(即VNnet1),一个设置成VMnet8(NAT模式)
-
打开蜜网,登录后,首先用
sudo -提升权限,首次打开会要求对虚拟机进行配置。
-
开始正式配置
-
下面设置密网网关:
2.3 测试攻击机、靶机、SEED虚拟机和蜜网网关的连通性,并截图
① 在蜜罐主机中通过 tcpdump -i eth0 icmp 监听连通性:
② Kali ping WinXPattacker
③ Kali ping win2KServer
④ WinXpattacker ping Win2KServer
⑤ SEEDUbuntu ping Metasploitable2-Linux
⑥ Win2KServer ping WinXpattacker
2.4 详细描述攻击机、靶机、SEED虚拟机和蜜网网关的功能以及所包含相关攻防软件的功能
- 攻击机:用于发起网络攻击的主机。本环境中包括Kali Linux、WinXPattacker两台攻击机。可以进行网络扫描、渗透攻击、程序逆向分析,密码破解,监视、反汇编和编译等功能。
- kali包含一些信息收集工具,如dmitry、maltegoce等,web扫描工具,如wpscan等。
- WindowsXP Attacker攻击机,可以作为网络扫描、渗透攻击、程序逆向分析的虚拟机。包含一些渗透攻击工具,如Metasploit 3.4.2-dev、Metasploit 2.7;网络扫描与嗅探工具,如Nmap/Zenmap 5.30 betal;静态分析工具Peid0.95等等。
- 靶机:被网络攻击的目标主机。本环境中包括Metasploitable_ubuntu和Win2kServer_SP0_target,一般靶机存在许多安全漏洞的软件包,如tomcat5.5、distcc、Metasploit等软件,可以针对其进行网络渗透攻击,网络服务弱口令破解,获取远程访问权等。
- Linux Metasploitable用以测试Metasploit中渗透攻击模块的靶机虚拟镜像,包含了一些存在安全漏洞的软件包,如Tomcat、distcc等等,也存在一些弱口令等不安全配置。
- SEED虚拟机:SEED Labs是一个帮助学习计算机安全的虚拟实验环境,包括软件安全,网络安全,Web安全还有移动端安全等。
- 包含了netlib/netwox/netwag软件包,实践中用以进行TCP/IP协议栈攻击。还可以提供以及SQL注入和各种xss的漏洞。
- 蜜网网关:通过构建部署陷阱网络进行诱骗与分析网络攻击的网关,能够提供网络攻击的行为监控、检测和分析。
蜜网(Honeynet) 是在蜜罐技术上逐步发展起来的,又可称为诱捕网络。蜜网技术实质上还是一种高交互型、研究型的用来获取广泛的安全威胁信息的蜜罐技术,其主要目的是收集黑客的攻击信息。但它又不同于传统的蜜罐技术,它不是单一的系统而是一个网络,即构成了一个诱捕黑客行为的网络体系架构,在这个架构中包含了一个或多个蜜罐。一个典型的蜜网通常由防火墙、网关、入侵检测系统和多个蜜罐主机组成,也可以使用虚拟化软件来构建虚拟蜜网。
在蜜网中充当网关的设备称为蜜墙(Honeywall),是出入蜜网的所有数据的必经关卡。在蜜网内部,可以放置任何类型的系统来充当蜜罐(例如不同类型操作系统的服务器、客户机或网络设备)和应用程序供黑客探测和攻击。特定的攻击者会瞄准特定的系统或漏洞,通过部署不同的操作系统和应用程序,可更准确地了解黑客的攻击趋势和特征以及使用的各种工具和战术。
HoneyWall 蜜网网关以桥接模式部署,拥有三个网络接口,其中eth0连接外网,eth1 连接蜜网。这两个接口以网桥模式连接,不需设置IP地址,同时也不对转发的网络数据包进行路由和TTL递减; eth2作为管理接口,连接内部管理监控网络,使得安全实验人员能够远程对蜜网网关进行控制,并对捕获的数据进行进一步分析。
在以ROO v1.4版本构建的HoneyWall蜜网网关中,集成了IPTables 防火墙、Snort 网络入侵检测系统和Tepdump网络嗅探工具对网络攻击数据进行捕获,并通过Sebekd接收蜜罐主机上由Sebek捕获的系统行为数据:基于IPTables防火墙和Snort_inline对外出攻击连接进行限制:通过hflowd 数据融合工具和基于浏览器的数据分析及系统管理工具Walleye,可根据捕获的数据查看网络流视图、进程树视图和进程详细视图。
3. 学习中遇到的问题及解决
问题1
问题1解决方案:
出现问题的原因:
- 出现此问题的原因是Device Guard或Credential Guard与Workstation不兼容。
- Windows系统的Hyper-V不兼容导致。
解决方案:
- “win+ R“打开运行,输入gpedit.msc,确定打开本地组策略编辑器
转到本地计算机策略 > 计算机配置 > 管理模板>系统 > Device Guard
打开 基于虚拟化的安全设置为“已禁用”
win+ R“打开运行,输入gpedit.msc
Device Guard位置
Device Guard禁用- “win+ R“打开运行,输入services.msc,确定打开本地服务 > 找到HV主机服务 > 启动类型设置为“禁用”
“win+ R“打开运行,输入services.msc
HV主机服务
启动类型设置为“禁用”- “ 控制面板” >“ 卸载程序” >“ 打开或关闭Windows功能”以关闭Hyper-V,选择不重启
关闭Hyper-V- 通过命令关闭Hyper-V(控制面板关闭Hyper-V起不到决定性作用)
“win+ x”,然后运行以管理员身份运行Windows Powershell (管理员)
也可以选择“cmd” 以管理员身份运行bcdedit /set hypervisorlaunchtype off运行成功
如果需要重新开启hyper,可以使用以下命令bcdedit /set hypervisorlaunchtype auto- 重启电脑
问题2
配置成功后再次登录HoneyWall,用户密码正确但是仍无法获取权限。
问题2解决方案:
用sudo passwd重设密码
问题3
问题3解决方案:
问题4
问题4解决方法:
遇到这种ping回显time out问题,表明ping的request消息已经发出,但没有回包,有几种可能性,要么,源pc发错了地方,要么目的网关送错了地方,目的主机没有收到,要么目的主机收到,回错了地方,或者防火墙拦截,导致应用层没有收到。根据这几种可能性去排除。最直接的方法是在目的ip上抓包,收到没有回就是检查是否防火墙拦截导致,或者检查是否有回程路由,回到其他mac地址就检查路由问题。
4. 学习感悟与思考
实验之初认为环境搭建无非就是安装几个软件设置一下网络,但实操过程中发现了很多细节上的问题,一点疏忽就会导致测试失败,这也说明现实环境中网络安全运维需要脚踏实地的耐心和严谨。最后还要感谢老师、学姐、室友以及网络论坛上的各大佬为我的坎坷学习路答疑解惑。希望以后的实验能更认真顺利的完成!🤯💪💪💪
参考资料
- 《网络攻防技术与实践》
- 博客园
- CSDN
655
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
