基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析TheArtemisProject/狩猎女神项目组柳亚鑫,吴智发,诸葛建伟一、先决条件在阅读本文前,请先阅读KnowYourEnemy:Honeynets,KnowYourEnemy:GenIIHoneynets和KnowYourEnemy:HoneywallCDROMRoo,对Honeynets的概念和第三代Honeynet(Roo)技术有个清晰的认识,并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告《基于Vmwareworkstation的虚拟Honeynet》,其中有关类似部分将不再赘述。二、什么是虚拟Honeynet按照Honeynet组织的定义:虚拟Honeynet是一种可让你在单一的机器上运行所有东西的解决方案。之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。下面是本文部署的第三代虚拟Honeynet的网络拓扑图。虚拟Honeynet主要分成两类:1.自包含虚拟Honeynet(Self-ContainedHoneynet):这种类别的Honeynet把它的各个组成部分都安装在单一的一台机器上。2.混合虚拟Honeynet(HybridHoneynet):这种类别的Honeynet并不局限与一台机器,而是把它的组成部分分开在多台机器上部署。我们在这里部署的自包含的虚拟Honeynet。下面首先介绍一下VMware的网络连接方式。三、VMwareWorkstation上的网络连接方式VMwareWorkstation是一个虚拟机软件,可以运行在Linux和Windows两种平台下,它可以模拟主板、内存、硬盘、网卡、声卡、USB口等多种硬件。运行在VmwareWorkstaion(下面简称Vmware)上的操作系统的网络连接方式有三种:桥接方式(Bridge):在桥接方式下,Vmware模拟一个虚拟的网卡给客户系统,主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样,自己直接连上网络,也就是说客户系统对于外部直接可见。网络地址转换方式(NAT):在这种方式下,客户系统不能自己连接网络,而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下,客户系统对于外部不可见。主机方式(Host-Only):在这种方式下,主系统模拟一个虚拟的交换机,所有的客户系统通过这个交换机进出网络。在这种方式下,如果主系统是用公网IP连接Internet,那客户系统只能用私有IP。但是如果我们另外安装一个系统通过桥接方式连接Internet(这时这个系统成为一个桥接器),则我们可以设置这些客户系统的IP为公网IP,直接从这个虚拟的桥接器连接Internet,下面将会看到,我们正是通过这种方式来搭建我们的自包含的虚拟Honeynet的。四、基于VMwareWorkstation的第三代虚拟Honeynet的部署实例下面是部署基于Vmware的第三代虚拟Honeynet的软硬件要求:软件:VmwareWorkstation4.2.5-8848forLinux;vmware-any-any-update93.tar.gzHoneywallCDROM;硬件:P4/1024M/80G/Inteleepro1000部署过程如下:1.Vmwareworkstation的安装及配置1)安装VMware-workstation:我们从VMware的网站上下载了linux平台下的VMware-workstation,使用下面的命令进行安装:安装过程按默认的就行,关于VMware的网络配置会在下面有详细介绍。2)为VMware-workstation安装patch:这个版本在内部的桥接上有点bug,我们下载了补丁vmware-any-any-update93.tar.gz并进行安装:3)对VMware的内部网络进行配置:我们使用的这台电脑有三个物理网卡,分别是eth0,eth1和eth2,其中eth0是千兆网卡。由于Honeywall不能识别千兆网卡,所以我们使用了eth1和eth2作为桥接的网卡,来生成两个不同的网段,一个是Honeynet的网段,一个是管理接口的网段。分别把VMware的vmnet0和vmnet2桥接到eth1和eth2上。具体步骤如下输入命令:vmware-config.pl根据提示进行配置:VMware的虚拟网络桥接应该是下面这样:主机的两个网卡设的IP应该与vmnet0和vmnet2的IP是处于一个网段的,这里我们把eth1的IP设为192.168.0.2,而把eth2的IP设为192.168.1.2,这样管理机和虚拟Honeypot就不在同一个网段上,保证了管理机的安全性。2.RooHoneywall的安装及配置1)安装RooHoneywall:输入命令:vmware&,打开VMware-workstation.从File菜单New一个VirtualMachine,安装方式选择custion,如下:选择2.6内核:...
