基于Vw 的第三代虚拟H eyet部署以及攻击实
例分析
The Arteis Project/狩猎女神项目组
柳亚鑫,吴智发,诸葛建伟
一、先决条件
在阅读本文前,请先阅读nw You nem Ho ynets,Know Yu Enemy: Gen I Honeye 和KoYour Eem:Honywal CDRO Ro,可到进行学习。对oneyne t s的概念和第三代o yne t Roo)技术有个清晰的认识,并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告《基于mare workstt io的虚拟oneyne》 其中有关类似部分将不再赘述。
二、什么是虚拟Honeyet
按照one n 组织的定义:虚拟Hon yne 是一种可让你在单一的机器上运行所有东西的解决方案。之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。
蜜网是在蜜罐技术上逐步发展起来的一个新的概念, 又称为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术,所谓的高交互意味着蜜网中用真实的操作系统、应用程序以及服务来跟攻击者进行交互而不是像 neyd那样仅提供模拟的系统和服务。与传统蜜罐技
术的差异在于, 蜜网构成了一个黑客诱捕网络体系架构在这个架构中 可以包含一个或多个蜜罐, 同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。一个典型的蜜网通常有防火墙、入侵检测系统 ID S)和多个蜜罐主机组成。防火墙和ID对所有进出蜜网的数据进行捕获和控制,然后对所捕获的信息加以分析,以便获取关于攻击者的一些情报。在蜜网内部, 可以放置任何类型的系统在充当蜜罐, 如Solari s 、 Linux、W doNT、 Ci o交换机等。这样,就为攻击者创造了一个感觉更真实的网络环境。同时通过对各个系统配置不同的服务例如DN、W 、服务器或者Sol ris FTP服务器,就可以了解攻击者使用的各种工具和战术。
下面是本文部署的第三代虚拟ne net的网络拓扑图。
虚拟Hneynet主要分成两类:
1 自包含虚拟Honyne t(S l -Cont ine Honeyne t 这种类别的o y
et把它的各个组成部分都安装在单一的一台机器上。
2 混合虚拟Ho e net(Hy r d Ho ey t :这种类别的H ne net并不局限与一台机器,而是把它的组成部分分开在多台机器上部署。
我们在这里部署的自包含的虚拟Hon n t 。下面首先介绍一下Vwre的网络连接方式。
三、 VMwre Worksttion上的网络连接方式
Vw Works atio 是一个虚拟机软件,可以运行在Linux和Win ows两种平台下它可以模拟主板、 内存、硬盘、 网卡、声卡、U口等多种硬件。
运行在Vm r Workstaion下面简称Vmare 上的操作系统的网络连接方式有三种:
桥接方式(Bridge :在桥接方式下,Vmwa 模拟一个虚拟的网卡给客户系统,主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样 自己直接连上网络,也就是说客户系统对于外部直接可见。
网络地址转换方式 AT 在这种方式下客户系统不能自己连接网络,而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下,客户系统对于外部不可见。
主机方式 o t-Only) 在这种方式下,主系统模拟一个虚拟的交换机,所有的客户系统通过这个交换机进出网络。在这种方式下,如果主系统是用公网IP连接Inte et,那客户系统只能用私有 P。但是如果我们另外安装一个系统通过桥接方式连接Interne (这时这个系统成为一个桥接器) ,则我们可以设置这些客户系统的IP为公网IP,直接从这个虚拟的桥接器连接Internet 下面将会看到,我们正是通过这种方式来搭建我们的自包含的虚拟ony e t的。
四、基于VMware W ksa ion的第三代虚拟Hoeyne的部署实例
下面是部署基于mare的第三代虚拟Ho eyne 的软硬件要求
软件
ma e W kstation 4.2.5-8 48 for Linux;
vr -n - ny-updat 93 ar.gz
one wall CRO;
硬件:
4/ 024M 80G/Inte eep o1000
部署过程如下:
.Vmwar o ks at on的安装及配置
1 安装VMware-workst tio
我们从VMar 的网站上下载了l inux平台下的VMar work tat on,使用下面的命令进行安装
安装过程按默认的就行,关于Mare的网络配置会在下面有详细介绍。
2)为Ma -workst t n安装 at h:
这个版本在内部的桥接上有点bug 我们下载了补丁vmware-any-any- pdate9 . t r.g并进行安装:
3)对VMwa 的内部网络进行配置:
我们使用的这台电脑有三个物理网卡,分别是eth0 eth1和e h2,其中e 0是千兆网卡。由于 n ya l l不能识别千兆网卡,所以我们使用了e 1和e h2作为桥接的网卡,来生成两个不同的网段一个是H ne net的网段,一个是管理接口的网段。分别把VMw 的vmnet0和vmnt2桥接到eth1和eth2上。具体步骤如下
输入命令:vmar -confi . l
根据提示进行配置
Var 的虚拟网络桥接应该是下面这样:
主机的两个网卡设的 P应该与mnet0和mnet2的I 是处于一个网段的,这里我们把eth1的IP设为192 168.0 而把eth2的I 设为192.168 1 ,这样管理机和虚拟Honey o t就不在同一个网段上保证了管理机的安全性。
2.R oo e wal l的安装及配置
1 安装Roo one l :
输入命令:vmware&,打开VMware-wo k ta ion.
从i le菜单New一个V tua Ma ine,安装方式选择custi n,如下:
选择2.6内核:
设定内存,建议至少2 6MB:
选择网络连接方式,这个虚拟网卡将作为eth0连接外部网络所以选择了Bridged方式桥接到主机的物理网卡:
选择I/适配器类型:
安装方式,我们选择了Create nwvi al dis
选择虚拟磁盘类型,由于Hneyall CDRO只支持 ,故这里选择IDE类型:
华纳云(HNCloud Limited)是一家专业的全球数据中心基础服务提供商,总部在香港,隶属于香港联合通讯国际有限公司,拥有香港政府颁发的商业登记证明,保证用户的安全性和合规性。 华纳云是APNIC 和 ARIN 会员单位。主要提供数据中心基础服务、互联网业务解决方案, 以及香港服务器租用、香港服务器托管、香港云服务器、美国云服务器,云计算、云安全技术研发等产品和服务。其中云服务器基于成熟的 ...
BuyVM 商家算是有一些年头,从早年提供低价便宜VPS主机深受广大网友抢购且也遭到吐槽的是因为审核账户太过于严格。毕竟我们国内的个人注册账户喜欢账户资料乱写,毕竟我们看英文信息有些还是比较难以识别的,于是就注册信息的时候随便打一些字符,这些是不能通过的。前几天,我们可以看到BUYVM商家有新增加迈阿密机房,而且商家有提供大硬盘且不限制流量的VPS主机,深受有一些网友的喜欢。目前,BUYVM商家有...
DediPath 商家成立时间也不过三五年,商家提供的云服务器产品有包括KVM和OPENVZ架构的VPS主机。翻看前面的文章有几次提到这个商家其中机房还是比较多的。其实对于OPENVZ架构的VPS主机以前我们是遇到比较多,只不过这几年很多商家都陆续的全部用KVM和XEN架构替代。这次DediPath商家有基于OPENVZ架构提供低价的VPS主机。这次四折的促销活动不包括512MB内存方案。第一、D...