20252906 2025-2026-2 《网络攻防实践》第1周作业

1. 知识点梳理与总结

1.1 实验内容

本次实验基于 VMware Workstation 虚拟化平台,完成个人版网络攻防实践环境的搭建。实验核心内容包括:完成攻击机、靶机、SEED 教学虚拟机、蜜网网关四类核心节点的导入与基础配置;完成虚拟化网络网段划分、IP 地址规划与虚拟交换机配置;通过蜜网网关实现攻击网段与靶机网段之间的流量监听、转发与隔离;完成全环境网络连通性测试,确保各节点通信正常、环境隔离有效,满足后续网络攻防实验的开展要求。

1.2 相关知识点

(1)攻防环境核心组件功能
攻击机作为攻击行为发起端,预装信息侦查、漏洞利用等攻防工具;靶机作为攻防演练目标,搭载存在已知安全漏洞的系统与服务,用于复现攻击场景;SEED 虚拟机为安全教学实验平台,适配网络安全原理学习与实验场景复现;蜜网网关为环境核心管控节点,用于实现跨网段流量转发、访问控制、日志审计与网络隔离。

(2)虚拟化网络技术原理
掌握 VMware 虚拟交换机(VMnet)的配置与使用方法,通过不同虚拟交换机实现攻击网段与靶机网段的逻辑隔离。本实验中,攻击机与 SEED 虚拟机位于 VMnet8(NAT)网段,靶机位于 VMnet1(仅主机)网段,Honeywall 作为两网段之间的中间控制节点。

(3)网络连通性验证方法
掌握基于 pingifconfigip addripconfigtcpdump 等工具的网络配置与链路测试方法,可验证各节点 IP 配置、网关设置的正确性,并验证蜜网网关的监听功能是否正常。

(4)攻防实验安全合规要求
网络攻防实验应严格遵守《中华人民共和国网络安全法》等相关法律法规,所有实验操作必须在隔离的私有实验环境内开展,严禁对非授权外部网络目标发起扫描、攻击等行为。

1.3 部署方式

本次实验各节点的虚拟机配置与 IP 地址规划如下表所示:

名称 虚拟机 IP 地址
攻击机 kali-linux-2023.1-vmware 192.168.200.2
攻击机 WinXPAttacker 192.168.200.3
靶机 Win2000_Server_SP0_target 192.168.200.131
靶机 Metasploitable_ubuntu 192.168.200.130
SEED 虚拟机 SEEDUbuntu9 192.168.200.4
蜜网网关 Honeywall 192.168.200.8

其中,攻击机侧与管理侧使用 192.168.200.0/25 网段,靶机侧使用 192.168.200.128/25 网段,Honeywall 用于实现两个网段之间的监听、转发与安全控制。

1.4 攻防环境拓扑结构图

image

2. 攻防环境搭建详细过程

2.1 安装 Kali 虚拟机

由于实验压缩包中未提供 Kali 镜像,因此需在 Kali 官方网站自行下载:https://kali.org/

点击 DOWNLOAD 按钮:
image

选择 Virtual Machines
image

下载 VMware 版本:
image

下载完成后将其解压:
image

打开该虚拟机:
image

2.2 靶机配置步骤

2.2.1 导入靶机

根据红框圈出的内容依次完成导入操作:
image
image
image
image
image
image
image
image

2.2.2 虚拟环境网络配置

打开 VMware,选择“编辑”→“虚拟网络编辑器”:
image

点击“更改设置”并授予管理员权限后,将 VMnet1 的子网 IP 和子网掩码设置为图示内容,同时取消“使用本地 DHCP 服务将 IP 地址分配给虚拟机”:
image

继续设置 VMnet8,点击“NAT 设置”,将网关 IP 设置为图示内容:
image

确认后将子网 IP 和子网掩码设置为图示内容:
image

随后点击“DHCP 设置”,将起始 IP 和结束 IP 地址修改为图示内容:
image

2.2.3 配置靶机

点击“打开虚拟机”,分别打开 VM_Metasploitable_ubuntuVM_Win2kServer_SP0_target
image
image
image

打开后,按顺序将两台靶机的网络均配置为 VMnet1(仅主机模式)
image

启动 VM_Win2kServer_SP0_target,密码为:mima1234
image

进入桌面后,点击“我的电脑”,随后点击“网络和拨号连接”:
image

将 IP 地址和 DNS 修改为图示内容:
image

设置完成后,启动 VM_Metasploitable 虚拟机,输入账号 msfadmin 和密码 msfadmin 登录:
image

登录后输入以下命令打开配置文件,密码仍为 msfadmin

sudo vim /etc/rc.local

进入文件后,添加如下内容:

ifconfig eth0 192.168.200.130 netmask 255.255.255.128
route add default gw 192.168.200.129

随后按 Esc,输入 :wq 保存退出:
image

输入以下命令重启虚拟机:

sudo reboot

重启后再次输入 ifconfig 查看配置是否成功:
image

2.3 配置攻击机

2.3.1 Kali

打开 Kali 虚拟机,点击“网络适配器”,将网络连接设置为 VMnet8(NAT 模式)
image

随后开启虚拟机,输入账号 kali、密码 kali 登录:
image

打开终端,输入 ip addr,查看到 IP 地址为 192.168.200.2,处于 VMnet8 分配的地址网段中,说明配置成功:
image

2.3.2 WinXPAttacker

打开 WinXPAttacker 虚拟机,点击“网络适配器”,将网络连接设置为 VMnet8(NAT 模式)
image
image

开启虚拟机,输入密码 mima1234 登录:
image

打开命令提示符,输入命令 ipconfig,查看到 IP 地址为 192.168.200.3,处于 VMnet8 分配的地址网段中,说明配置成功:
image

2.4 配置 SEED 虚拟机

打开 SEED 虚拟机,点击“网络适配器”,将网络连接设置为 VMnet8(NAT 模式)
image

开启虚拟机,输入账号 seed 和密码 dees 登录。打开终端,输入命令 ifconfig,查看到 IP 地址为 192.168.200.4,处于 VMnet8 分配的地址网段中,说明配置成功:
image

2.5 配置蜜网网关

点击“文件”→“新建虚拟机”,创建一个新的虚拟机:
image

硬件兼容性选择 6.5-7.x
image

选择“稍后安装操作系统”:
image

操作系统选择 Linux,版本选择 CentOS 5 和更早版本
image

设置处理器数量及内核数量:
image

分配虚拟内存:
image

选择使用网络地址转换(NAT):
image

选择控制器类型:
image

选择磁盘类型:
image

选择创建新虚拟磁盘:
image

指定磁盘容量:
image

自行指定磁盘文件存储位置,点击“下一步”后完成虚拟机创建。随后打开 HoneyWall 虚拟机,点击 CD/DVD(IDE),选择“使用 ISO 映像文件”:
image

点击“添加”,新增两个网络适配器:

  • 网络适配器 2:选择 仅主机模式
  • 网络适配器 3:选择 VMnet8(NAT 模式)

image

开启虚拟机,输入账号 roo 和密码 honey 登录,然后输入命令 su - 提升至 root 权限:
image

输入 menu 进入菜单,选择 4 Honeywall Configuration
image

选择 1 Mode and IP Information
image

选择 2 Honeypot IP Address
image

输入两个靶机的 IP 地址:192.168.200.130192.168.200.131
image

按回车返回上一级页面,选择 5 LAN Broadcast Address,输入 VMnet8 的广播地址 192.168.200.127
image

选择 OK 保存后,选择 6 LAN CIDR Prefix,输入管理侧网段:192.168.200.0/25
image

完成后选择 Save,返回前一个菜单,选择 2 Remote Management
image

选择 1 Management IP
image

输入蜜网网关 IP 地址:192.168.200.8
image

选择 OK 后,选择 2 Management Netmask,输入子网掩码:255.255.255.128
image

选择 OK 后,选择 3 Management Gateway,输入网关 IP:192.168.200.1
image

选择 OK 后,选择 7 Manager,输入管理网段:192.168.200.0/25
image

完成后选择 Save,返回前一个菜单,选择 11 Sebek
image

输入 Sebek 的 IP:192.168.200.8
image

端口号使用默认值 1101
image

选择 1 Drop
image

返回命令行,输入 ifconfig,检查网络配置是否成功:
image

2.6 连通性测试

2.6.1 攻击机访问蜜网网关

开启 WinXP 虚拟机,打开 IE 浏览器,在地址栏中输入蜜网网关地址:https://192.168.200.8

输入账号 roo 和密码 honey 进行登录,首次登录后按要求设置新密码 NIhao100!
image

登录成功后进入 Honeywall 管理界面:
image

2.6.2 蜜网网关监听验证

进入 Honeywall 虚拟机,在终端中输入命令 tcpdump -i eth0,进行监听测试:
image

开启 Kali 虚拟机,打开终端,输入命令:

ping 192.168.200.3

image

观察 Honeywall 抓包结果,可见对应 ICMP 报文,说明监听功能正常:
image

随后开启 SEED 虚拟机,打开终端,输入命令:

ping 192.168.200.2

image

观察 Honeywall 抓包结果,可见对应报文被成功捕获,说明 Honeywall 的监听配置有效。
image

至此,实验环境搭建与基础验证全部完成。

3. 学习中遇到的问题及解决

问题一:攻击机(Kali)出现 “Network is unreachable”,导致无法发出探测包

故障机理:
该问题属于本地系统路由表缺失错误。Kali 系统在分配 IP 时附加了 noprefixroute 属性,导致 Linux 内核未自动生成 192.168.200.0/24 网段的直连路由,系统因寻址失败而在本地直接丢弃报文。

解决逻辑:
通过 ip route add 命令,手动将目标网段的路由规则加入内核路由表,明确数据包发送的物理出口(如 dev eth0),从而恢复网络通信能力。

问题二:Honeywall 物理链路连通,但无法形成双向抓包闭环(无 ICMP 回包)

故障机理:
该问题由网络层与主机层双重因素共同导致。一方面,Honeywall 的白名单中若未登记真实靶机 IP,底层 iptables/网桥规则会将相关报文判定为 IP 伪造(Spoofing)并直接丢弃;另一方面,靶机操作系统自身防火墙可能默认阻断外部 ping 报文,导致无法形成完整回包。

解决逻辑:
首先,在 Honeywall 管理菜单中将靶机 IP 192.168.200.130192.168.200.131 正确加入 Honeypot IP Address 列表,并重载网关配置规则;其次,进入靶机系统关闭操作系统级防火墙,消除端到端通信障碍。完成以上配置后,Honeywall 即可正常实现流量监听与抓包。

posted @ 2026-03-25 20:32  ccch6  阅读(3)  评论(0)    收藏  举报