20251915 2025-2026-2 《网络攻防实践》第1周作业

1.知识点梳理与总结

本周主要学习并实践了网络攻防实验环境的原理与构建方法。网络攻防环境是开展安全实验与技术验证的基础,一套完整的环境通常由攻击机、靶机、分析控制机和隔离的网络拓扑组成。

  • 虚拟机技术应用:虚拟机技术是搭建测试环境的核心。通过虚拟化软件(如VMware),能够在单台物理设备上运行多个相互隔离的操作系统。这不仅极大降低了硬件部署成本,更保障了实验过程的安全性,有效防止恶意攻击代码破坏真实的物理宿主机系统。
  • 虚拟网络拓扑构建:虚拟网络配置是实现环境连通与隔离的关键。通过灵活组合VMware提供的桥接模式、NAT模式和仅主机(Host-Only)模式,可以构建出不同安全级别和路由策略的逻辑网络区域,从而高度还原真实的企业级网络架构。
  • 蜜网(Honeynet)技术:蜜网技术被广泛应用于捕获和分析未知攻击行为。通过在内外网边界部署蜜网网关,研究人员可以在攻击者毫无察觉的情况下,对进出靶机网络的流量进行全方位的深度监控与数据捕获,完整记录其攻击手法及恶意代码特征。

拓扑结构设计与IP地址规划
整个网络拓扑包含两个主要的隔离区域及一个核心监控网关。外部网络用于放置攻击机,模拟来自外部的威胁源;内部网络用于放置漏洞靶机,模拟企业内部受保护的服务器资源。蜜网网关部署在这两个网络之间,充当透明网桥进行流量监控。

详细IP地址规划如下:

graph TD %% 定义外部网络 (NAT/VMnet8) subgraph External_Network ["外部区域: VMnet8 NAT"] style External_Network fill:#f9f,stroke:#333,stroke-width:2px Attacker_XP["Windows XP 攻击机<br>IP: 192.168.1.130"] Attacker_Kali["Kali Linux 攻击机<br>IP: 192.168.1.129"] end %% 定义核心 Honeywall 网关 subgraph Honeywall_Core ["核心网关: 蜜网 (Honeywall)"] style Honeywall_Core fill:#ccf,stroke:#333,stroke-width:2px eth0("eth0: WAN/外网接口") eth1("eth1: LAN/内网接口") eth2("eth2: 管理接口<br>IP: 192.168.1.200") %% 明确透明网桥,双向透传 eth0 -.->|"透明网桥<br>流量双向透传"| eth1 eth1 -.->|"透明网桥<br>流量双向透传"| eth0 end %% 定义内部网络 (隔离/VMnet1) subgraph Internal_Network ["内部区域: VMnet1 仅主机 (192.168.81.0/24)"] style Internal_Network fill:#9f9,stroke:#333,stroke-width:2px %% 用红色虚线框圈出受保护区域,缩短标题防止被截断 subgraph Honeypot_Zone ["靶机隔离区 (蜜罐)"] style Honeypot_Zone fill:#f99,stroke:red,stroke-width:2px,stroke-dasharray: 5 5 Target1["Windows 靶机<br>IP: 192.168.81.129"] Target2["Linux 靶机<br>IP: 192.168.81.125"] Target3["SEED Ubuntu<br>IP: 192.168.81.130"] end end %% 连接攻击机到网关的外网接口 Attacker_XP --- eth0 Attacker_Kali --- eth0 %% 攻击机访问管理接口 (用虚线表示Web管理) Attacker_XP -.->|"Web管理 (HTTPS)"| eth2 %% 连接网关内网接口到各个靶机 eth1 --- Target1 eth1 --- Target2 eth1 --- Target3
  • 攻击机所在外部网络配置为VMware的VMnet8 NAT模式,网段设为 192.168.1.0/24
  • 靶机和SEED虚拟机所在内部网络配置为VMware的VMnet1仅主机模式,网段设为 192.168.81.0/24
  • 蜜网网关配置三个虚拟网络接口,外网接口连接VMnet8,内网接口连接VMnet1,用于宿主机管理访问的接口同样连接VMnet8以实现远程Web控制。
    image

一、 攻击机系统部署

1. Kali Linux 攻击机安装与配置
在VMware中导入Kali镜像,该系统集成了Nmap、Wireshark、Metasploit等主流安全工具。具体安装与初始化步骤如下:

网络适配器选择NAT模式(典型配置):
image
选择“安装程序光盘映像文件”并定位镜像所在位置:
image
选择虚拟机操作系统类型为 Linux:
image
为虚拟机命名为“Kali-Linux-2024.1”:
image
分配磁盘容量为 40GB:
image
系统安装向导,选择语言为中文(简体):
image
配置键盘布局为汉语:
image
配置网络,此处可暂时留空:
image
设置系统用户名为 kali,密码为 root
image
对磁盘进行分区,选择“向导-使用整个磁盘”:
image
选择默认分区设备:
image
分区方案选择“将所有文件放在同一个分区中”:
image
确认分区设置,选择“完成分区操作并把修改写入磁盘”:
image
确认将修改写入磁盘,选择“是”并点击继续:
image
软件选择环节保持默认,点击“继续”:
image
安装 GRUB 启动引导器,选择“是”:
image
选择默认的设备安装 GRUB 引导器:
image
输入密码后,成功进入 Kali 桌面环境:
image
在终端输入 sudo -i 提权,输入 passwd root 修改密码。输入 sudo apt update && sudo apt install net-tools -y 升级软件。遇到缺少公钥错误时,使用 apt-key adv --keyserver keyserver.ubuntu.com --recv-keys ED65462EC8D5E4C5 下载公钥,随后再次执行 apt updateapt install net-tools -y 完成网络工具包安装:
image
输入 ifconfig 确认获取到的外网 IP 为 192.168.1.129
image

2. Windows XP 攻击机安装 (VM_WinXPattacker)
解压 VM_WinXPattacker.rar 文件:
image
在VMware中打开解压目录下的 .vmx 文件,将网络适配器设置为“NAT模式”:
image
开机后,在命令行输入 ipconfig,确认获取到的外网 IP 为 192.168.1.130
image

二、 内部漏洞靶机部署

1. Metasploitable 2 Linux 靶机
该系统是一个高度可定制的漏洞环境,专门用于测试渗透攻击载荷。
将其网络适配器设置为仅主机模式(VMnet1):
image
进入系统后,输入 sudo su 提权(密码为 msfadmin),输入 ifconfig 发现默认 IP 不在规划网段内:
image
输入 vim /etc/rc.local 进入配置编辑模式,在 exit 0 上方添加 ifconfig eth0 192.168.81.125 netmask 255.255.255.0 route add default gw 192.168.81.1,保存并退出:
image
重启后再次输入 ifconfig,确认静态 IP 192.168.81.125 已生效:
image

2. Windows 2000 Server 靶机 (VM_Win2kServer_SP0_target)
解压 VM_Win2kServer_SP0_target.rar 压缩包:
image
打开对应的 .vmx 文件后,将网络适配器选择为仅主机模式:
image
在命令行窗口输入 ipconfig,确认获取到的内网 IP 为 192.168.81.129
image

3. SEED Ubuntu 靶机
SEED 虚拟机预装了用于应用安全及密码学实验的测试工具。
解压文件 SEEDUbuntu9_August_2010.tar.gz
image
打开 .vmx 文件,网络适配器设置为仅主机模式:
image
开机后打开终端,输入 ifconfig,确认获取到的内网 IP 为 192.168.81.130
image

三、 蜜网网关 (Honeywall) 安装与配置

部署 Honeywall 系统的主要目的是通过透明桥接隐蔽地监控攻击活动。
新建虚拟机,选择“典型”配置:
image
选择“稍后安装操作系统”:
image
选择操作系统类型为 Linux,版本设定为 CentOS 5 和更早版本:
image
将虚拟机命名为 honeywall 并选择合适的存储路径:
image
配置磁盘大小为 20GB,将虚拟磁盘拆分为多个文件:
image
创建向导完成,暂时不要开启虚拟机:
image
进入虚拟机设置页面,为其添加硬件。确保共有三个网络适配器:第一块和第三块选择NAT模式,第二块选择仅主机模式:
image
在 CD/DVD 驱动器中勾选“启动时连接”,选择“使用ISO映像文件”,并加载下载好的 Honeywall 镜像:
image
启动虚拟机,使用默认用户名 roo 与密码 honey 登录,随后输入指令 su - 提升至 root 权限:
image
系统安装与底层配置加载中:
image
出现初次运行提示“当前蜜网尚未配置”,直接按下回车键进入主菜单:
image
在主菜单中选择第四项 Honeywall Configuration
image
同意系统免责声明:
image
初始化方式选择第二项 2 Defaults,加载默认的网卡框架并按回车键确认:
image
加载完毕退回主菜单后,再次选择第四项 Honeywall Configuration 进行具体 IP 设置:
image
选择 1 Mode and IP Information 并按下回车键:
image
选择 Honeypot IP Address 配置内部受保护主机的地址:
image
删除默认的 10.0.0.20,输入之前两台内部虚拟靶机的 IP 地址:192.168.81.129 192.168.81.130(中间用空格隔开),随后按 Tab 键选中 OK 并回车保存:
image
接着选中第 5 项 LAN Broadcast Address 继续配置内部广播地址:
image
填写内部仅主机网络的广播地址为 192.168.81.255
image
选中第 6 项 LAN CIDR Prefix 填写内部网段信息:
image
输入无类别域间路由格式网段 192.168.81.0/24
image
保存上述透明网桥配置,退回上一级菜单:
image
选中第 2 项 Remote Management 进入网关自身远程管理接口设置:
image
选择第 1 项 Management IP
image
将其静态地址修改为 192.168.1.200
image
选择第 2 项 Management Netmask,将其掩码修改为 255.255.255.0
image
选择第 3 项 Management Gateway 设置默认网关:
image
将其网关修改为外部 NAT 的网关 192.168.1.2
image
选择第 6 项 Management DNS Servers 设置 DNS:
image
同样修改为 192.168.1.2,最后一路退出并重启保存生效。
image

四、 连通性测试与验证

在全部节点启动后,重新核对各虚拟机的 IP 地址是否正确就位:
VM_WinXPattacker 获取 IP 为 192.168.1.130
image
Kali 攻击机获取 IP 为 192.168.1.129
image
VM_Win2kServer 靶机获取 IP 为 192.168.81.129
image
Metasploitable 2 靶机获取 IP 为 192.168.81.125
image
SEED 虚拟机获取 IP 为 192.168.81.130
image
Honeywall 网关管理接口 IP 确认为 192.168.1.200
image

安全策略白名单放行
测试初期发现无法 ping 通蜜网网关。经排查,需在网关终端输入 su - roo 并在命令行输入 menu 调出配置菜单。依次进入 Honeywall Configuration -> Remote Management,找到 Manager 选项进入:
image
清空默认值,输入 192.168.1.0/24 并保存,允许整个外网攻击机网段进行访问:
image

蜜网 Web 控制台登录测试
在 VM_WinXPattacker 中打开火狐浏览器,输入 https://192.168.1.200,确认安全警告添加例外,顺利打开 Web 控制台登录界面:
image
image

透明网桥物理转发测试
在 XP 攻击机命令行依次执行 ping 192.168.81.129192.168.81.125192.168.81.130。内部靶机均反馈稳定的数据包,说明蜜网二层物理桥接完美生效:
image

专业渗透平台跨网段连通测试
切换至 Kali Linux 终端执行 ping 192.168.81.125,代表底层渗透通道工作正常:
image

内网隔离区横向连通测试
在内部网络中的 Win 2k Server 靶机执行 ping 192.168.81.130,证明受保护区域局域网底层通信完全正常:
image

2.学习中遇到的问题及解决

  • 问题1:蜜网网关配置完毕后,外部攻击机无法 ping 通网关管理 IP,持续提示请求超时。
  • 问题1解决方案:经底层命令行排查确认 eth2 网卡工作正常,故障源于蜜网网关极严苛的默认安全策略。通过进入底层配置菜单的 Remote Management 模块,将外部攻击机所在网段加入 Manager 管理白名单。同时明确了网关为保持隐蔽性会默认拦截 ICMP 探测报文,最终改用 HTTPS 协议并添加浏览器自签名证书例外,成功绕过防探测机制登录 Web 分析控制台。
  • 问题2:内部受保护靶机启动时系统桌面频繁弹窗,报错提示“网络中存在重名”。
  • 问题2解决方案:分析网络拓扑确认,这是由于多台靶机源自同一基础克隆镜像导致的 NetBIOS 主机名广播冲突。判定该局域网主机名冲突完全不影响底层 TCP/IP 协议栈的路由与数据传输。采取直接忽略前端警告的策略,通过命令行提取真实 IP,顺利完成了跨网段的透明网桥穿透与内部横向连通性测试。

3.学习感悟、思考等

本次高仿真物理攻防环境的成功搭建,为我后续的网络攻防实践课程夯实了最底层的基础设施。在解决网关严格防火墙策略和底层网络路由错位等实际问题的过程中,我深刻认识到真实网络安全部署环境的复杂性。目前包含多种漏洞主机的实战演练场已全面就位,这使我们能够在安全的隔离环境中,随时进行网络扫描、漏洞探测和渗透测试的实操演练。

这次实践也充分验证了“纸上得来终觉浅,绝知此事要躬行”的道理。在搭建出实际运行的靶机和攻击机体系之前,许多网络通信协议和安全防护思路都仅停留在书本理论层面。只有亲自配置网络拓扑、更新软件依赖、排查底层路由并成功执行连通性验证,才能真正理解TCP/IP协议栈的底层逻辑和网络安全架构的运作机制。这不仅极大锻炼了我的动手排错能力,更为后续深入开展各类网络攻防实验打下了坚实的技术底座。

参考资料

posted @ 2026-03-17 11:58  俞长灿  阅读(13)  评论(0)    收藏  举报