KFSensor虚拟蜜罐的安装和使用

KFSensor 虚拟蜜罐的安装和使用 The Artemis Project/狩猎女神项目组 钟金辉，诸葛建伟 一、KFSensor的安装 1. 配置 vmware5.5 虚拟环境 在 vmware 中新建一台安装Windows Xp Professional 的虚拟机，网络连接方式选Bridged。建好之后，再给虚拟机添加一块网卡，选择 Custom 连接方式连接到/dev/vmnet2。如下图： 2. 在 wmware5.5 上 winxp 系统的安装及网络配置 1) Windows 系统采用默认安装即可。 2) 在安装好操作系统之后，一般会给系统配置两个 ip：一个是公网 ip,一个是内部 ip。但是只配置公网 ip 也是可以的。配置内部 ip 是为了能够从内部网络对虚拟蜜罐进行远程管理。 3. 在winxp 上安装KFSensor 软件 和window下一般软件的安装方式相似，先安装WinPcap3.1，再安装KFSensor4.2.0。在KFSensor 安装完成之后，会要求重启系统。 1) 重启之后会出现一些选项，分别是针对 Windows 的服务，Linux 的服务，木马及蠕虫等。可以按照自己的需要进行选择，在这里我们选择了所有的服务。 2) 接下来设定蜜罐系统的域名，我们填入 kfsensroTest.com 作为示意。注意不要设为正常主机的域名。 3) 设定接收警报信息的email 地址，如果需要KFSensor 进行邮件报警的话，可以在这里填上你的email 地址。 4. 关闭 winxp 开放的端口服务 Window 默认开放了很多的端口服务，如图： 在这里我们需要把window 默认提供的端口服务关闭，而让KFSensor 来应答所有的端口服务请求。 1) 关闭139 端口： 打开“网络连接”，右击“本地连接 n”(如果有多个网卡就会有多个本地连接)，再弹出的菜单中选择“属性”，进入“本地连接属性”对话框。在弹出的对话框中选“Internet 协议(TCP/IP)” ，点“属性”进入“Internet 协议(TCP/IP)属性”对话框。点“高级”进入“高级 TCP/IP 设置”，选“WINS”选项卡，在“NetBIOS 设置”中选择“禁用 TCP/IP 上的NetBIOS”。见下图： 完成以上操作之后，可以看到 139 端口的服务已经停止了： 2) 关闭137-138 端口： 打开“网络连接”，右击“本地连接”，在弹出的菜单中选择“属性”，进入“本地连接属性”对话框，将“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”前面的小勾去掉。（见图）注：本次设置需要重启计算机之后才能生效。 重启之后可以看到137 及138 端口的服务已停止： 3) 关闭 445 端口 在“开始”菜...