实践一 网络攻防环境的搭建
1 实验目的
本次实践的目的是配置一套网络攻防的实验环境。利用提供的虚拟机镜像和VMWare Workstations软件,在自己的笔记本电脑部署一套个人版网络攻防实践环境,包括了一台攻击机、一台靶机和蜜网网关,并进行网络连通性测试,确保各个虚拟机能够正常联通。撰写详细实验报告,细致说明安装和配置过程(截图)、过程说明、发现问题和解决问题过程,以及最后测试结果。
需要完成以下任务:
(1)画出攻防环境的拓扑结构图(包含IP地址)。
(2)需要详细描述从开始安装到配置结束的环境搭建过程。
(3)测试攻击机、靶机和蜜网网关的连通性,并截图。
(4)需要详细描述攻击机、靶机和蜜网网关的功能以及所包含相关攻防软件的功能。
(5)总结学习中遇到的问题及解决方案。
(6)总结学习感想和体会。
2 实验准备
实验之前需要准备各种实验材料:
(1)虚拟机软件:VMWare Workstations;
(2)攻击机镜像:kali;
(3)靶机镜像:Metasploitable2;
(4)蜜网镜像:roo-1.4.hw-20090425114542;
图2-1 实验材料
3 配置网络
首先需要建立两个虚拟网络,一个是模拟内部网络,部署靶机和蜜网,一个是模拟外部网络,部署攻击机。所有这些都在虚拟机上进行。
图3-1 虚拟机界面
3.1 配置Vmnet1(靶机网段)
将Vmnet1(靶机网段)设为仅主机模式。
子网IP为192.168.200.128。
子网掩码为255.255.255.128。
关闭本地DHCP服务,无需动态分配IP。
图3-2 Vmnet1配置图
3.2 配置Vmnet8(攻击网段)
将Vmnet8(攻击网段)设为NAT模式。
子网IP为192.168.200.0。
子网掩码为255.255.255.128。
图3-3 Vmnet8配置图
之后进行NAT设置:
网关IP设为192.168.200.1。
图3-4 网关IP配置图
之后进行DHCP设置:
设置动态分配的IP范围为192.168.200.2~192.168.200.120。还需要留出几位给Vmnet1中的靶机使用。
图3-5 DHCP配置图
至此网络配置完毕。
4 配置靶机
通过打开靶机的镜像文件,打开靶机(Metasploitable2)。
图4-1 靶机的镜像文件
输入用户名和密码(均为msfadmin),进入虚拟机。
图4-2 靶机界面
输入命令"sudo vim /etc/rc.local"。进入修改网络配置文件,在此期间需要再次输入密码。
图4-3 网络配置文件
在"exit 0"前填入IP设置:"ifconfig eth0 192.168.200.129 netmask 255.255.255.128 route add default gw 192.168.200.1"。设置IP地址为192.168.200.129。之后按"Esc"后输入":wq"保存,再输入"sudo reboot"重启该虚拟机。
图4-4 修改后的网络配置文件
再次登录输入"ifconfig",查看IP地址。IP地址确实为192.168.200.129。
图4-5 IP地址
至此靶机配置完毕。
5 配置攻击机
配置攻击机的网段到VMnet8(攻击网段)。注意要确保攻击机是关机状态,否则无法进行。
图5-1 配置攻击机的网段
在攻击机的命令行中输入"ip addr"查看自动分配的IP地址。可以看出IP为192.168.200.4/25,处在攻击网段中。
图5-2 查看攻击机的IP
至此攻击机配置完成。
6 配置蜜罐网络
6.1 安装蜜罐
首先下载相关镜像文件。
图6-1 蜜网镜像文件
创建新的虚拟机,自定义模式。
图6-2 创建新的虚拟机
选择较老的兼容版本。
图6-3 兼容版本选择
选择稍后安装。
图6-4 稍后安装
系统选Linux,版本选CentOS。
图6-5 系统和版本
选择安装位置和虚拟机名,之后选默认设置。
图6-6 安装位置和虚拟机名
导入镜像文件,选择对应的文件路径。
图6-7 导入镜像文件
6.2 配置网卡
在虚拟机中配置网卡,添加两个网卡,一个连接靶机网段,一个连接攻击网段。
图6-8 添加网卡
第一个网卡连接靶机网段选择仅主机模式。
图6-9 连接靶机网段的网卡
第二个网卡连接攻击机网段VMnet8选择NAT模式。
图6-9 连接攻击机网段的网卡
6.3 配置蜜罐
启动虚拟机进行配置。用户名是"roo",密码是"honey"。输入"su –",密码还是honey,进行提权。
图6-10 进去蜜网
选择进去蜜网网关(4),进行设置。
图6-11 主菜单
选择默认模式。
图6-12 默认模式
加载完毕后开始正式配置,选择(4)。
图6-13 开始配置
6.3.1 模式和IP信息的配置
首先配置蜜罐的是模式和IP信息(1)。
图6-14 模式和IP信息
图6-15 开始配置IP
输入靶机的IP:192.168.200.129
图6-16 靶机IP
然后是配置广播地址。
图6-17 开始配置广播地址
进入虚拟网络编辑器查看相关信息。
广播地址为:192.168.200.127;
子网IP为:192.168.200.0;
子网掩码为:255.255.255.128;
图6-18 虚拟网络编辑器
配置广播地址为192.168.200.127。
图6-19 广播地址
再设置蜜网网段。
图6-20 开始配置蜜网网段
蜜网网段IP设置为:192.168.200.0/25。
图6-21 蜜网网段IP
至此蜜罐信息的配置模式和IP信息配置完毕。
6.3.2 蜜网网关管理配置
选择远程管理(2)。
图6-22 远程管理
首先配置IP。
图6-23 开始配置IP
设置为192.168.200.8。
图6-24 IP地址配置
然后设置子网掩码。
图6-25 开始配置子网掩码
子网掩码为255.255.255.128。
图6-26 子网掩码
再设置路由。
图6-27 开始设置路由
查看网关IP:192.168.200.2。
图6-28 查看网关IP
设置路由为192.168.200.2。
图6-29 路由IP
最后进入"manager"设置蜜罐IP。
图6-30 Manager
设为192.168.200.0/25。
图6-31 蜜罐IP
6.3.3 Sebek的配置
选择Sebek(11)。
图6-32 远程管理
和蜜网网关IP一致为192.168.200.8。
图6-33 设置IP
UDP端口使用默认的1101。
图6-34 设置UDP端口号
对包的行为选择丢弃。
图6-35 包的设置
至此所有配置完成。
6.3.4 查看配置和进行监听
使用"ifconfig"查看配置,使用"Shift+Pgup"查看上文。
图6-36 查看配置
可以看出eth2的IP地址是192.168.200.8,配置无误。
输入指令"tcpdump -i eth0 icmp"。用这个接口开始监听icmp报文。
图6-35 监听icmp报文
7 结果测试
使用攻击机ping靶机(192.168.200.129)。
图7.1 攻击机ping靶机
查看蜜罐,可以看到监听到的相关报文。
图7.2 蜜罐监听到的报文
测试无误,证明实验成功,网络攻防的实验环境配置完成。
整个实验系统的拓扑结构图如下图所示:
图7-3 网络攻防的实验环境拓扑结构图
8 学习中遇到的问题及解决方案
8.1 Linux系统操作的相关问题
(1)密码的输入
输入密码的时候,不会显示,这时候不是死机,输入密码后,按回车可以继续进行。
(2)退出编辑和保存
视频中没有教修改网络配置文件后保存和退出的方法。具体方法是按"Esc"退出,后输入":wq"保存。
(3)查看上文
当信息被遮挡,可以使用"Shift+Pgup"查看上文。
8.2 勘误
(1)靶机IP地址
视频中将靶机的IP配为192.168.200.123。不在Vmnet1网段子网IP为192.168.200.128/25的网段。因此改为设置IP地址为192.168.200.129,放入Vmnet1网段。
8.3 其他问题
(1)无法进行虚拟机配置
在VMWare Workstations软件中对某个虚拟机进行配置,需要先将对应虚拟机关机,再配置,否则界面是灰色无法进行。
9 学习感想和体会
通过本次实验,我学习到了很多知识,包括基本的网络安全知识,配置虚拟机的知识,Linux系统操作的知识等等。成功的部署了一套个人的网络攻防实践环境,其中包括攻击机、靶机、蜜网网关,并进行了网络连通性测试。极大的提高了我的动手实践能力,自我解决问题的能力,主动学习的能力,虽然还有很多问题似懂非懂,但为之后的网络攻防学习打下基础,让我受益匪浅。
