作业课程:https://edu.cnblogs.com/campus/besti/19attackdefense
作业要求:https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10449
课程目标:学习《网络攻防技术与实践》教材第二章,并完成课后作业。
这个作业在哪个具体方面帮助我实现目标:学习了基于第三代蜜网的VNet网络攻防实验环境构建。
作业正文:
1知识点总结
1.1攻击机、靶机、SEED虚拟机和蜜网网关的功能
攻击机:发起网络攻击的主机。本环境中包括BackTrack R3和Windows XP Attacker两台攻击机。可以进行网络扫描、渗透攻击、程序逆向分析,密码破解,监视、反汇编和编译等功能。
靶机:被网络攻击的目标主机。本环境中包括Linux Metasploitable和Windows 200 Server,一般靶机存在许多安全漏洞的软件包,如tomcat5.5、distcc、Metasploit等软件,可以针对其进行网络渗透攻击,网络服务弱口令破解,获取远程访问权等。
SEED虚拟机:是信息安全教育实验环境虚拟机,由SEED项目提供,可以进行TCP/IP协议栈攻击,SQL注入,XSS漏洞的phpBB论坛应用程序等操作。
蜜网网关:通过构建部署陷阱网络进行诱骗与分析网络攻击的网关,能够提供网络攻击的行为监控、检测和分析。
1.2相关攻防软件的功能
Snort:拥有嗅探器、数据包记录器和网络入侵检测系统三种工作模式。嗅探器模式是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
Tcpdump:可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
Walleye:基于浏览器的数据分析及系统管理工具,用于捕获数据查看网络流视图、进程树视图和进程详细视图。
Metasploit:一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。
Aircrack-NG:一个与802.11标准的无线网络分析有关的安全软件,主要功能有:网络侦测,数据包嗅探,WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持监听模式的无线网卡上(设备列表请参阅其官方网站)并嗅探802.11a,802.11b,802.11g的数据,该程序可运行在Linux和Windows上。
Gerix Wifi Cracker:一个aircrack图形用户界面的无线网络破解工具。
Kismet:一个无线扫描工具,该工具通过测量周围的无线信号,可以扫描到周围附近所用可用的Ap,以及信道等信息。同时还可以捕获网络中的数据包到一个文件中。可以方便分析数据包。
Nmap:Linux下的网络扫描和嗅探工具包,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。
Ophcrack:一个使用Rainbow table来破解视窗操作系统下的LAN Manager散列(LM hash)的计算机程序,它是基于GNU通用公共许可证下发布的开放源代码程序。可以在短至几秒内破解最多14个英文字母的密码,有99.9%的成功率。
Wireshark:一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
BeEF:由ruby语言开发的专门针对浏览器攻击的框架。
Hydra:一款爆破神器,可以对多种服务的账号和密码进行爆破,包括Web登录、数据库、SSH、FTP等服务,支持Linux、Windows、Mac平台安装。
OWASP Mantra Security Framework :一套基于 Chromium 和 Firefox的工具、插件和脚本。
Cisco OCS Mass Scanner:通过telnet以及默认密码扫描思科路由器。
2.环境配置
个人版网络攻防实验环境拓扑结构
2.1 配置网卡
打开VMware Workstation,菜单栏->编辑->虚拟网络编辑器,根据VM网络结构图,配置三种模式的网络设置。
桥接模式:
仅主机模式:
NAT模式:
NAT网关设置
DHCP地址分配设置,共可分匹配99个IP地址
2.2配置linux攻击机BT5R3
第一步配置网卡,采用NAT模式
导入镜像后,用root/toor登录,登录root用户,WMware Workstation通过ctrl+alt键切换虚拟机鼠标,用ifconfig查询网络配置情况
分配的IP地址为192.168.200.2,广播地址为192.168.200.127, 子网掩码为255.255.255.128,与设置一致
2.3配置Windows XP攻击机
与Linux攻击机网卡配置方法一致,登录虚拟机后输入账号密码mima1234,在命令提示符中用ipconfig查询IP信息。
分配的IP地址为192.168.200.3,子网掩码为255.255.255.128,默认网关为192.168.200.1与设置一致
2.4配置Linux靶机
设置网卡配置器为仅主机模式
手动配置IP为192.168.200.102,子网掩码为255.255.255.128,默认网关为192.168.200.1。
2.5配置Windows靶机
设置网卡配置器
设置TCP/IP
分配的IP地址为192.168.200.103,子网掩码为255.255.255.128,默认网关为192.168.200.1。
2.6配置SEED
设置网卡配置器
查看IP地址,分配的IP为192.168.200.4
2.7配置蜜罐主机
结合之前孙启龙同学发的博客,少走了很多弯路,顺利配置了最麻烦的蜜罐主机。
新建虚拟机向导
选择虚拟机硬件兼容性,
选择稍后安装操作系统
进行硬件配置
网卡设置
开启虚拟机,进入linux系统,enter跳过提示。
用roo/honey登录用户,然后su - 进行配置,也可以通过root用户进入/usr/sbin,运行./menu来配置
进入4初始化界面
开始配置,选择不承担风险,使用default方式初始化
开始配置
选择4Hone与yWall进行网关配置,然后选择1 Mode and IP Information
输入https协议的ip地址,进入蜜罐项目系统,第一次用roo用户登录,密码为honey,然后进行密码修改。
3.测试
以上就是全部环境配置过程,接下来我们进行攻击机、靶机、SEED虚拟机和蜜网网关的连通性测试。可以直接通过蜜罐网导出联通信息,也可以直接在蜜罐主机中通过tcpdump -i eth0 icmp监听连通性。
此处切换至root用户会遇到无法寻找到tcpdump和ifconfig命令,可以通过su -进行提权。
3.1window攻击机ping靶机
3.2window靶机ping攻击机
3.3linux攻击机ping靶机
3.4linux靶机ping攻击机
3.5window攻击机pingSEED
3.6window攻击机蜜罐主机
蜜罐主机由于防火墙打开的原因,可能ping会超时,可以用service iptables stop关闭防火墙,然后就可以ping通了
4.学习中遇到的问题及解决
问题1:VMware Workstation三种连接方式
问题1解决方案:上网查询了相关资料 ,在实验搭建环境中主要用了NAT和Host-only的方式,分别用于攻击机网段以及靶机网段。
问题2:在虚拟机上比较卡,且需要频繁切换ctrl+alt
问题2解决方案:可以使用mobaXterm等软件建立SSH会话连接,同时支持ftp文件上传和下载。
问题3:配置完环境后无法登陆honey wall
问题3解决方案:windows攻击机上自带浏览器版本过低,默认协议为http可能无法登陆,需改成https
问题4:蜜罐主机缺少icpdump,ifconfig命令
问题4解决方案:系统默认的系统变量缺失/sbin,/usr/sbin,原因是su切换成root用户以后,发现工作目录仍然是普通用户的工作目录;而用su -命令切换以后,工作目录变成root的工作目录了。用echo $PATH命令看一下su和su - 后的环境变量已经变了。如果想给普通用户提供或者修改系统变量,可以手动在控制台中添加,也可以修改/etc/profile文件,然后source。
问题5:网络配置无误,仍无法ping通蜜罐主机
问题5解决方案:蜜罐主机由于防火墙打开的原因,可能ping会超时,可以用service iptables stop关闭防火墙,然后就可以ping通了。
5.学习感悟和思考
本次学习内容主要包括网络攻防的实验环境,实践出真知,没有实际操作就不能透彻了解和掌握其中的原理。感谢前面不少同学配置环境的时分享的心得和经验,使我少走了很多弯路。但是同样也遇到不少小问题,好在最后都解决了。