1.知识点梳理与总结
(1) VM操作系统的三种网络连接方式的适用情况
①bridged(桥接模式)
- VMware 桥接模式,也就是将虚拟机的虚拟网络适配器与主机的物理网络适配器进行交接,虚拟机中的虚拟网络适配器可通过主机中的物理网络适配器直接访问到外部网络。简而言之,这就好像在局域网中添加了一台新的、独立的计算机一样。因此,虚拟机也会占用局域网中的一个IP地址,并且可以和其他终端进行相互访问。
- 桥接模式网络连接支持有线和无线主机网络适配器。如果你想把虚拟机当做一台完全独立的计算机看待,并且允许它和其他终端一样的进行网络通信,那么桥接模式通常是虚拟机访问网络的最简单途径。
- PS: 桥接模式,虚拟机网段必须和物理机网段保持一致,另外虚拟机在网络配置的时候,一定不要忘了加入对应 VMnet。
②NAT(网络地址转换)
- NAT是 Network Address Translation 的缩写,意即网络地址转换。NAT 模式也是 VMware 创建虚拟机的默认网络连接模式。使用NAT模式网络连接时,VMware会在主机上建立单独的专用网络,用以在主机和虚拟机之间相互通信。虚拟机向外部网络发送的请求数据 “包裹”,都会交由 NAT 网络适配器加上 “特殊标记” 并以主机的名义转发出去,外部网络返回的响应数据"包裹",也是先由主机接收,然后交由NAT网络适配器根据"特殊标记"进行识别并转发给对应的虚拟机,因此,虚拟机在外部网络中不必具有自己的IP地址。从外部网络来看,虚拟机和主机在共享一个IP地址,默认情况下,外部网络终端也无法访问到虚拟机。
- 此外,在一台主机上只允许有一个NAT模式的虚拟网络。因此,同一台主机上的多个采用 NAT 模式网络连接的虚拟机也是可以相互访问的。//一台主机上只允许有一个 NAT 模式的虚拟网络
③host-only(仅主机模式)
- 仅主机模式,是一种比NAT模式更加封闭的的网络连接模式,它将创建完全包含在主机中的专用网络。仅主机模式的虚拟网络适配器仅对主机可见,并在虚拟机和主机系统之间提供网络连接。相对于NAT模式而言,仅主机模式不具备 NAT 功能,因此在默认情况下,使用仅主机模式网络连接的虚拟机无法连接到 Internet (在主机上安装合适的路由或代理软件,或者在 Windows 系统的主机上使用 Internet 连接共享功能,仍然可以让虚拟机连接到 Internet 或其他网络)。
- 在同一台主机上可以创建多个仅主机模式的虚拟网络,如果多个虚拟机处于同一个仅主机模式网络中,那么它们之间是可以相互通信的;如果它们处于不同的仅主机模式网络,则默认情况下无法进行相互通信(可通过在它们之间设置路由器来实现相互通信)。
(2) 虚拟密网相关概念
- 蜜罐:诱捕攻击者的一个陷阱
- 蜜网:采用了技术的Honeynet,把蜜罐主机放置在防火墙的后面,所有进出网络的数据都会通过这里,并可以控制和捕获这些数据,这种网络诱捕环境称为密网。
- 蜜网网关:密网提供的一个作为透明网关的攻击行为捕获与分析平台。
(3) 攻击机、靶机、SEED虚拟机和蜜网网关的功能以及所包含相关攻防软件的功能
①攻击机:安装了专用的攻击软件,用于发起网络攻击的主机。Linux系统平台相较于Windows拥有更多强大的攻击软件,更适合作为攻击机平台。
- 本实验用的kali (Linux系统) 包含一些信息收集工具,如dmitry、maltegoce等,web扫描工具,如wpscan等。
- 本实验用的WinXP (Windows系统) ,可以作为网络扫描、渗透攻击、程序逆向分析的虚拟机。包含一些渗透攻击工具,如Metasploit 3.4.2-dev、Metasploit 2.7;网络扫描与嗅探工具,如Nmap/Zenmap 5.30 betal;静态分析工具Peid0.95等等。
②靶机:内置系统和应用程序安全漏洞,并作为目标的主机。基础环境中包括了Windows2000和Linux操作系统主机。
- 一般靶机存在许多安全漏洞的软件包,如tomcat5.5、distcc、Metasploit等软件,可以针对其进行网络渗透攻击,网络服务弱口令破解,获取远程访问权。
- Linux Metasploitable用以测试Metasploit中渗透攻击模块的靶机虚拟镜像,包含了一些存在安全漏洞的软件包,如Tomcat、distcc等等,也存在一些弱口令等不安全配置。
③SEED虚拟机:SEED Labs是一个帮助学习计算机安全的虚拟实验环境,包括软件安全,网络安全,Web安全还有移动端安全等。
包含了netlib/netwox/netwag软件包,实践中用以进行TCP/IP协议栈攻击。还可以提供以及SQL注入和各种xss的漏洞。
④蜜网网关:作为虚拟蜜网中一个关键的功能部位,提供了对网络攻击的行为监控、监控和分析的平台。
在以ROO v1.4版本构建的HoneyWall蜜网网关中,集成了IPTables 防火墙、Snort 网络入侵检测系统和Tepdump网络嗅探工具对网络攻击数据进行捕获,并通过Sebekd接收蜜罐主机上由Sebek捕获的系统行为数据: 基于IPTables防火墙和Snort_inline对外出攻击连接进行限制:通过hflowd 数据融合工具和基于浏览器的数据分析及系统管理工具Walleye,可根据捕获的数据查看网络流视图、进程树视图和进程详细视图。
2.实验过程
(1) 实验目标:配置一套网络攻防的实验环境
利用提供的虚拟机镜像和VMWare Workstations软件,在自己的笔记本电脑部署一套个人版网络攻防实践环境,包括了一台攻击机、一台靶机和蜜网网关,并进行网络连通性测试,确保各个虚拟机能够正常联通。
(2) 网络拓扑图
(3) 环境配置
①配置虚拟机软件:VMWare Workstations
首先需要建立两个虚拟网络,一个是模拟内部网络,部署靶机和蜜网,一个是模拟外部网络,部署攻击机。所有这些都在虚拟机上进行。
- 配置Vmnet1(靶机网段)
1.将Vmnet1(靶机网段)设为仅主机模式。
子网IP为192.168.200.128。
2.子网掩码为255.255.255.128。
3.关闭本地DHCP服务,无需动态分配IP。
- 配置Vmnet8(攻击网段)
1.将Vmnet8(攻击网段)设为NAT模式。
2.子网IP为192.168.200.0。
3.子网掩码为255.255.255.128。
4.进行NAT设置:网关IP设为192.168.200.1。
5.进行DHCP设置:设置动态分配的IP范围为192.168.200.2~192.168.200.120。还需要留出几位给Vmnet1中的靶机使用。
②配置攻击机:WinXP
在虚拟机->网络适配器中选择NMnet8(NAT模式),ip地址动态分配。
③配置靶机:Metasploitable2、Sever2k
- 配置Metasploitable2
1.打开终端,输入命令
sudo vim /etc/rc.local
,进入修改网络配置文件。
2.在"exit 0"前填入IP设置:ifconfig eth0 192.168.200.123 netmask 255.255.255.128 route add default gw 192.168.200.1
。设置IP地址为192.168.200.123。之后按Esc
后输入:wq
保存,再输入sudo reboot
重启该虚拟机。
3.将其设置为VMnet1网卡
4.再次登录输入ifconfig
,查看IP地址。IP地址确实为192.168.200.123。
- 配置Sever2k
1.打开Server2kt,点击我的电脑->网络和拨号连接->本地连接->属性->Internet协议(TCP/IP),修改IP地址为192.168.200.124。
2.将虚拟机的网络适配器改为VMnet1网卡。
3.配置完成后,使用
ipconfig
命令查看配置结果。
④配置蜜网:roo-1.4.hw-20090425114542
1.按照这篇博客中配置密网的步骤进行配置。
2.配置完成后,输入ip add
查看
3.打开WinXP浏览器,访问密网,测试攻击机WinXP与密网的连通性
4.WinXP可成功访问密网,登录后,修改初始密码
(4) 连通性测试
-
密网终端输入
tcpdump -i eth0 icmp
开启监听 -
攻击机WinXP ping 靶机Metasploitable2
-
攻击机WinXP ping 靶机Sever 2k
-
密网获取消息
3.学习中遇到的问题及解决
问题1:honeywall进入不了配置界面
- 原因:这是因为在安装镜像时没有选择稍后安全操作系统的方式安装,而是直接使用镜像光盘文件安装,导致配置都已默认设置好。
- 解决方案:重装虚拟机或者在命令行中输入
menu
命令也可以进入配置界面。
问题2:不知道如何通过vmdk文件创建虚拟机
- 解决方案:VMware通过vmdk文件创建虚拟机
问题3:配置完成后,攻击机与靶机无法ping通
- 原因:对VM操作系统的三种网络连接方式的适用情况理解不清
- 解决方案:学习相关知识,将靶机设置为VMnet1
问题4:配置完全正确后,攻击机与靶机仍无法ping通
- 原因:在ping的时候没有打开密网
4.学习感悟、思考等
我认为本次实验主要难点在于理解网络拓扑结构,以及其中的相关知识点,比如ip地址的设置、三种网络连接方式的区别。在环境的配置过程中遇到的问题,通过万能的百度都得到了解决。
参考资料
- VNet虚拟密网构建
- 在Win32平台上基于VMware软件部署并测试第三代虚拟密网
- VMware通过vmdk文件创建虚拟机