KFSensor 虚拟蜜罐的安装和使用 The Artemis Project/狩猎女神项目组 钟金辉,诸葛建伟 一、KFSensor的安装 1. 配置 vmware5.5 虚拟环境 在 vmware 中新建一台安装Windows Xp Professional 的虚拟机,网络连接方式选Bridged。建好之后,再给虚拟机添加一块网卡,选择 Custom 连接方式连接到/dev/vmnet2。如下图: 2. 在 wmware5.5 上 winxp 系统的安装及网络配置 1) Windows 系统采用默认安装即可。 2) 在安装好操作系统之后,一般会给系统配置两个 ip:一个是公网 ip,一个是内部 ip。但是只配置公网 ip 也是可以的。配置内部 ip 是为了能够从内部网络对虚拟蜜罐进行远程管理。 3. 在winxp 上安装KFSensor 软件 和window下一般软件的安装方式相似,先安装WinPcap3.1,再安装KFSensor4.2.0。在KFSensor 安装完成之后,会要求重启系统。 1) 重启之后会出现一些选项,分别是针对 Windows 的服务,Linux 的服务,木马及蠕虫等。可以按照自己的需要进行选择,在这里我们选择了所有的服务。 2) 接下来设定蜜罐系统的域名,我们填入 kfsensroTest.com 作为示意。注意不要设为正常主机的域名。 3) 设定接收警报信息的email 地址,如果需要KFSensor 进行邮件报警的话,可以在这里填上你的email 地址。 4. 关闭 winxp 开放的端口服务 Window 默认开放了很多的端口服务,如图: 在这里我们需要把window 默认提供的端口服务关闭,而让KFSensor 来应答所有的端口服务请求。 1) 关闭139 端口: 打开“网络连接”,右击“本地连接 n”(如果有多个网卡就会有多个本地连接),再弹出的菜单中选择“属性”,进入“本地连接属性”对话框。在弹出的对话框中选“Internet 协议(TCP/IP)” ,点“属性”进入“Internet 协议(TCP/IP)属性”对话框。点“高级”进入“高级 TCP/IP 设置”,选“WINS”选项卡,在“NetBIOS 设置”中选择“禁用 TCP/IP 上的NetBIOS”。见下图: 完成以上操作之后,可以看到 139 端口的服务已经停止了: 2) 关闭137-138 端口: 打开“网络连接”,右击“本地连接”,在弹出的菜单中选择“属性”,进入“本地连接属性”对话框,将“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”前面的小勾去掉。(见图)注:本次设置需要重启计算机之后才能生效。 重启之后可以看到137 及138 端口的服务已停止: 3) 关闭 445 端口 在“开始”菜...
