20252912 2025-2026-2 《网络攻防实践》实验一

1. 知识点梳理

1.1 虚拟机网络接口模式

  1. 桥接模式:虚拟机通过虚拟网卡直接连接到物理网络,与宿主机同网段,拥有独立的MAC地址和IP
  2. NAT模式:虚拟机ip为私有地址,所有进出流量由NAT设备做地址转换,虚拟机可以连接外网但是对外不可见
  3. Host-only模式:虚拟机仅能与宿主机及同网段其他Host-only虚拟机通信,完全隔离于外部网络

1.2 蜜罐网络

蜜罐网络是由由多台蜜罐主机和蜜网网关组成的网络环境,专门用于诱捕、监控和分析攻击者行为。
蜜罐主机:存在安全漏洞的真实系统,用于吸引攻击
蜜网网关:部署在蜜罐网络与其他网络之间的透明网桥,对蜜罐主机攻击流量进行捕获与分析,攻击者察觉不到密网网关存在

1.3 sebek

Sebek是一种基于内核的隐蔽数据捕获工具,用于在蜜罐主机内部收集攻击者的攻击行为并传送给密网网关。使得密网网关既能收集攻击者网络流量,也能收集系统内部的攻击行为
Sebek Server:部署在蜜网网关,接收并处理数据
Sebek Client:安装在靶机上的内核驱动,捕获系统活动

1.4 OS介绍

  1. Windows XP:微软于2001年发布的经典桌面操作系统,属于Windows NT系列,以稳定性和易用性著称。
  2. Windows 2000 Server:微软于2000年发布的服务器级操作系统,基于Windows NT 5.0内核,提供Active Directory、IIS和文件/打印服务,已停止支持且存在严重安全漏洞
  3. Kali Linux:基于Debian开发的专门用于渗透测试的Linux发行版,预装大量安全工具
  4. SEED Ubuntu:专门用于计算机安全教育的Ubuntu定制版本,集成大量安全实验工具和环境
  5. Metasploitable_ubuntu:故意配置大量漏洞的Ubuntu Linux,模拟真实有缺陷的系统环境
  6. Roo:基于CentOS的专用蜜网网关操作系统

2. 实验过程

2.1 蜜罐网络拓扑

基于VMWareWorkstation搭建的蜜罐网络拓扑如下图所示:

image

左侧Kali Linux、Windows XP、SEED Ubuntu为攻击机,网卡设置为NAT模式,可访问外网;右侧Windows 2000 Server、Metasploitable_ubuntu为靶机,网卡设置为host-only模式与外网隔离;中间的roo为密网网关,管理接口为NAT模式,另外两接口连接vmnet1和vmnet8两网段。此时攻击机和靶机在同一网段,攻击机访问靶机的网络流量必须经过密网网关,从而达到捕获并分析攻击流量的目的。

2.2 网络配置

2.2.1 虚拟机网络配置

  1. 打开VMware Workstation虚拟网络编辑器:Edit->Virtual Network Editor
  2. 配置host-only,网段为192.168.1.0/24,不使用DHCP动态分配IP,因为静态靶机IP便于后续密网网关的配置。
    image
  3. 配置NAT,网段为192.168.8.0/24,设置网关ip为192.168.8.1,DHCP分配的ip范围是192.168.8.1-192.168.8.250,保留192.168.8.251-192.168.8.254用于靶机静态ip配置
    image
    image
    image

2.2.2 攻击机网络配置

攻击机使用DHCP动态ip分配,无需手动配置。下图展示了winXP、seed_ubuntu虚拟机的ip:
image
image

2.2.3 靶机网络配置

靶机ip需要手动静态配置
winserver2000的ip配置过程如下图。进入桌面后,点击我的电脑->网络和拨号连接
image
本地连接->属性->internet协议,在窗口内配置ip、子网掩码、默认网关、DNS服务器ip。如下图所示
image
配置成功!
image
Metasploitable_ubuntu的ip配置过程如下图。
vim修改/etc/rc.local文件
image
/etc/rc.local记录了开机时自动执行命令,在文件中添加ifconfig命令配置系统的ip、子网掩码、默认网关后:wq保存文件,执行命令reboot重启系统即可成功配置
image
重启后,ifconfig查看ip,配置成功!
image

2.2.4 密网网关配置

首先使用roo.iso镜像文件安装虚拟机,注意选择旧版VMware保证兼容性
image
选择旧版CentOS
image
接口设置为NAT
image
创建虚拟机后,打开虚拟机设置界面再添加两个网络接口,分别为NAT和host-only模式
image
启动虚拟机,在main界面选择4进行honeywall配置
image
接着选择2进行默认初始化
image
等待一段时间后在main界面选择4进入网关配置菜单,我们需要依次配置1 Mode and IP Information、2 Remote Management、11 Sebek
image
1 Mode and IP Information中依次配置2 Honeypot IP Address(蜜罐ip,即实验中两个靶机的ip)、5 LAN Broadcast Address(该网段广播地址)、6 LAN CIDR Prefix(网段ip),如图所示
image
image
image
image
2 Remote Management中依次配置1 Management IP(管理接口ip)、2 Management Netmask(管理接口子网掩码)、3 Management Gateway(管理接口默认网关)、7 Manager(管理接口网段)
image
image
image
image
image
11 sebek中配置sebek client发送的数据包的目的ip,即sebek server ip,也就是管理接口ip
image
退出main界面
image
配置成功!
image

2.3 访问密网网关管理接口

网关配置完成后,可以在其他虚拟机上通过https访问192.168.8.5管理接口可视化界面
winxp中打开浏览器输入https://192.168.8.5,登录后修改密码,即可进入网关管理界面
image
image
image

2.4 流量监听测试

由于攻击机访问靶机时必然经过密网网关,因此可通过网关监听攻击者流量

2.4.1 ping测试

首先将密网网关eth0接口即连接密网网关与vmnet8的接口设置为混杂模式,监听经过该接口icmp数据包
image
在攻击机winxp中ping靶机metaploitable_ubuntu(192.168.8.252)
image
蜜网网关监听到icmp数据包
image

2.4.2 nmap测试

在攻击机kali中nmap端口扫描靶机winserver2000(192.168.8.251)
image
蜜网网关监听到端口扫描数据包
image

3.问题及解决

问题:密网网关roo中找不到ifconfig命令
解决方案:roo中以普通用户身份登录时无法使用命令,su -切换为root即可正常使用
image

4.学习感悟

本次攻防实验通过虚拟机技术搭建了一套简单的蜜罐网络环境,涵盖了攻击机、靶机与蜜网网关的协同配置,并实践了利用网卡混杂模式捕获攻击流量的技术。使我们对蜜罐系统的运行机制建立了初步的认知。
实验过程中,我们系统掌握了VMware虚拟机的三种典型网络接口模式——NAT、Host-only与桥接各自的特点和应用场景;同时熟悉了Kali Linux、SEED Ubuntu等主流攻击平台,以及Metasploitable系列靶机的特性。此外,通过动手实践,我们掌握了Windows Server与Linux系统下静态IP地址的配置技巧。
此次实验培养了我们的网络攻防实战基本能力,为后续开展更复杂的渗透测试与防御研究奠定了坚实的技术基础。

posted @ 2026-03-12 10:49  bbbbbbbbbb123  阅读(197)  评论(0)    收藏  举报