20253915 2025-2026-2 《网络攻防实践》第1周作业
学号20253915 2025-2026-2 《网络攻防实践》第1周作业
1.知识点梳理与总结
1.1 网络攻防环境
网络攻防环境核心构成攻防环境需满足隔离性、可控性、可复现性三大核心要求,主要包含四大组件:
-
攻击机:执行渗透测试、漏洞利用、暴力破解等攻击操作的主机,Linux 系统(如 Kali、BT5R3)因内置丰富攻击工具成为首选。
-
靶机:模拟脆弱目标的主机,需预装未修复漏洞(如 Windows XP、Metasploitable Ubuntu),用于验证攻击手段有效性。
-
SEED 虚拟机:攻防专用实验平台,内置缓冲区溢出、XSS、CSRF 等实验环境,支持精细化攻防原理教学。
-
蜜网 / 蜜罐系统:包含蜜罐、蜜网网关、监控端的安全监测体系,用于捕获攻击行为、分析攻击特征。
1.2 虚拟机网络接口三种模式
虚拟化技术的核心应用以 VMware Workstation 为核心平台,通过仅主机模式、桥接模式、NAT 模式实现多虚拟机隔离通信:
-
仅主机模式:为攻防实验首选,创建独立虚拟内网(如 VMnet8、VMnet1),避免攻击行为向外网扩散。
-
桥接模式:使虚拟机与物理机处于同一网段,适用于外部访问蜜网场景。
-
NAT 模式:通过物理机网卡转发流量,解决外网访问需求但降低内网隔离性。
1.3 蜜罐网络
蜜罐、蜜网和蜜网网关的概念:
| 概念 | 核心定义与作用 |
|---|---|
| 蜜罐 | 软件应用级入侵诱饵,通过吸引黑客攻击,收集攻击手段、最新漏洞及黑客工具信息,分析攻击特征。 |
| 蜜网 | 多个蜜罐互联形成的大型模拟网络环境,用于观察完整入侵过程,评估企业安全措施有效性。 |
| 蜜网网关 | 第三代蜜网技术的核心组件,作为透明捕获与分析平台,桥接网络实现流量监控,结合 Sebek 软件记录蜜罐攻击行为,是攻击检测与分析的核心节点。 |
蜜网网关在网络攻防环境中扮演着关键角色,其工作机制主要包括以下几个方面:
-
网桥功能:蜜网网关作为一个网桥,通过桥接模式将原有的局域网扩展,使得蜜罐系统内的蜜罐可以被同一局域网内的主机访问。
-
连接配置:蜜网网关需要安装三块网卡,第一块使用桥接模式用于外部访问蜜网;第二块使用仅主机模式建立蜜网;第三块也使用仅主机模式,用于访问蜜网网关的控制端。
-
蜜罐IP配置:在蜜网网关的设置中,需要添加蜜罐主机的IP地址,多个蜜罐主机的IP地址需要用空格隔开。
-
蜜网网络设置:蜜网网关还需要对蜜网所在网络进行设置,包括广播地址和CIDR。
-
远程管理配置:蜜网网关支持远程通过SSH控制网关,需要对远程管理进行配置。
-
Sebek软件:在蜜罐主机上通过Sebek软件记录系统攻击行为,蜜网网关则用于捕获和分析这些攻击行为。
-
透明网关:蜜网网关作为一个透明的攻击行为捕获与分析平台,能够在蜜罐主机上记录攻击行为,同时对攻击者的行为进行监测和分析。
1.4 常用攻防软件
一些常用攻防软件简介:
| 软件名称 | 核心功能 | 应用场景 |
|---|---|---|
| Wireshark | 网络封包分析工具,捕获 / 解析网络数据包,查看详细协议内容与报文细节 | 流量分析、认证过程抓包、攻击特征提取 |
| tcpdump | 命令行数据包截获工具,基于自定义规则过滤流量,保存 pcap 文件 | 蜜网网关流量监控、服务器流量分析 |
| Sebek | 蜜罐客户端软件,记录蜜罐主机的完整攻击行为(键盘操作、文件访问、进程启动) | 蜜网攻击行为溯源、攻击过程还原 |
| TFN2K | 分布式 DDoS 攻击工具,通过主控端协同多代理端发起拒绝服务攻击 | 拒绝服务攻击实验、攻击流量分析 |
| Nmap | 端口扫描工具,探测靶机开放端口、服务版本、系统类型 | 攻击前信息收集、漏洞扫描 |
| Metasploit | 漏洞利用框架,集成海量漏洞 Exploit、Payload,实现一键攻击与提权 | 漏洞利用实验、后渗透测试 |
2.实验过程
2.1 蜜罐网络拓扑图
| 虚拟机镜像名称 | 类型 | IP地址 |
|---|---|---|
| BT5R3 | 攻击机 | 192.168.200.2 |
| WinXPattacker | 攻击机 | 192.168.200.3 |
| SEEDUbuntu9 | 攻击机 | 192.168.200.4 |
| Metasploitable Ubuntu | 靶机 | 192.168.200.132 |
| Win2kServer | 靶机 | 192.168.200.131 |
2.2 网络配置
2.2.1 虚拟机网络配置
设置VMnet1的子网IP和子网掩码
设置VMnet8的子网IP和子网掩码
设置NAT和DHCP
2.2.2 攻击机和靶机网络配置
1、设置攻击机BT5R3的网络适配器并开启此虚拟机
利用root/toor登录虚拟机
在终端输入ifconfig查看网络配置:ip地址为192.168.200.2
2、导入Windows XP Attacker攻击机,修改网络适配器
使用账号密码登录: administrator/mima1234
查看ip地址:win+R输入cmd进入终端,利用ipconfig查看IP地址:192.168.200.3
3、导入SEEDUbuntu9_August_2010,配置网络适配器:
利用账号密码登录:User ID: seed, Password: dees
查看ip地址,点击Teminal进入终端后输入ifconfig查看:192.168.200.4
4、导入VM_Metasploitable_ubuntu(Linux Metasploitable v1.0)并进行网络适配器配置:
开启虚拟机,输入账号密码登录:msfadmin/msfadmin
修改IP地址:
按以下内容进行配置:
sudo vim /etc/rc.local
msfadmin
i
ifconfig eth0 192.168.200.130 netmask 255.255.255.128 route add default gw 192.168.200.129
按esc
:wq
sudo reboot
再次登录:
利用ifconfig查看ip地址:192.168.200.130
但是在后面实操ping失败,在查阅相关资料后,地址修改为192.168.200.132,具体操作如下:
sudo cp /etc/network/interfaces /etc/network/interfaces.bak
输入密码:msfadmin
sudo nano /etc/network/interfaces
修改为
auto eth0
iface eth0 inet static
address 192.168.200.132
netmask 255.255.255.128
gateway 192.168.200.1
dns-nameservers 8.8.8.8 114.114.114.114
按 Ctrl+O → 回车保存 → 按 Ctrl+X 退出
重启:sudo /etc/init.d/networking restart ,再次查询ip地址,也可以在最开始设置ip地址时直接设置为192.168.200.132
5、导入Win2kserver,并且设置网络适配器
开启此虚拟机:
利用Ctrl+alt+ins跳转至登陆页面,输入账号密码administrator/mima1234进行登录
进入后通过我的电脑--网络拨号连接--本地连接--属性--Internet协议--使用下面的IP地址,修改虚拟机的IP地址:192.168.200.131
查看IP地址:win+R进入终端后利用ipconfig查看
2.3 蜜罐的配置
2.3.1 蜜罐的创建
首先新建虚拟机,选择自定义,硬件兼容性如下:
选择稍后安装操作系统:
选择Linux--CentOS 5和更早版本
设置虚拟机名称并且自定义位置,我选在的位置是D盘:
处理器及其内核数量配置:
分配虚拟机内存:
选择NAT模式:
选择LSI Logic控制器:
选择SCSI磁盘:
创建新虚拟磁盘:
最大磁盘容量设置为20GB,将虚拟磁盘拆分为多个文件:
指定磁盘文件:
核对信息后点击完成创建虚拟机:
虚拟机配置--添加iso文件(roo)以及网络配置器设置
添加两个网络适配器,第一个为NAT模式,第三个设置为VMnet8模式,第二个为VMnet1模式:
完成后打开虚拟机:
2.3.2 蜜罐的配置
Enter进入
输入账号密码: roo/honey ,成功登录进入后输入su -进行配置:
点击ok:
再次点击ok:
选择第四个:HoneyWall Configuration
选择YES:
选择第二个Defaults:
选择YES:
加载信息:
再次进入第四个配置
选择第一个配置IP:
选择第二个蜜罐IP配置:
设置原先的IP为以下:192.168.200.130 192.168.200.131
选择配置LAN广播地址
更改为192.168.200.127
选择第六个进行配置CIDR
更改为:192.168.200.0/25
进行蜜网网关设置
选择第二个remote management进行配置:
重复之前的步骤对以下的内容进行一一配置
management ip 192.168.200.8
management netmask 255.255.255.128
management gateway 192.168.200.1
manager 192.168.200.0/25
默认1101端口:
选择方式为Drop:
配置完成后退出验证ifconfig:
2.4 蜜网网关测试
蜜网网关测试:打开虚拟机WinXPattacker,在其中打开一个浏览器并输入网址:https://192.168.200.8
输入账号密码roo/honey 进行登录:
根据提示的要求修改密码为Honey2003.
登陆成功进入界面,在这个页面可进行分析经过蜜网的流量,验证配置成功:
连通性测试
跳转回HoneyWall虚拟机,使用命令下面进行监听。
tcpdump -i eth0 icmp
进入靶机进行ping以下测试连通性:
回到HoneyWall也有报文出现,可以监听到ICMP包,则测试成功
3.ping测试
3.1 三个攻击机ping 192.168.200.132
3.2 三个攻击机ping 192.168.200.131
均成功
3.3 攻击机互相ping
3.3.1 192.168.200.2ping其他
3.3.2 192.168.200.4ping其他
3.3.3 192.168.200.3ping其他
3.4 靶机互相ping
4.学习感悟
4.1 学习中遇到的问题及解决
首先是网络配置问题,在配置靶机时没有注意其网络适配器需要选择VMnet1而是和攻击机一样选了VMnet8,在ping时才发现有问题最后进行了修改;
其次是IP地址的设置,在参考其他同学时没有注意到其限制条件,设置的IP地址虽然可以ping通但是不符合要求;
最后是安装VM的时候没有注意兼容性,会出现蓝屏死机的情况,换了一个版本后问题解决。
4.2 学习感想和体会
本周通过亲手搭建网络攻防环境,我真正将理论知识转化为实操能力,深刻体会到网络配置的严谨性,微小的参数错误都会导致环境无法运行。实验让我理解了攻防实验环境隔离、可控的重要性,在解决网络故障的过程中,提升了我的问题排查和动手能力。同时我也认识到网络安全是攻防结合的技术,既要掌握攻击方法,也要理解防御监测的原理,这次实验为后续的网络攻防学习打下了坚实的基础。
浙公网安备 33010602011771号