虚拟基于虚拟机vmware的第三代虚拟蜜网部署和实例分析

基于Vw  的第三代虚拟H eyet部署以及攻击实

例分析

The Arteis Project/狩猎女神项目组

柳亚鑫,吴智发,诸葛建伟

一、先决条件

在阅读本文前,请先阅读nw You nem  Ho ynets,Know Yu Enemy: Gen I Honeye  和KoYour Eem:Honywal  CDRO Ro,可到进行学习。对oneyne t s的概念和第三代o yne t Roo)技术有个清晰的认识,并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告《基于mare workstt io的虚拟oneyne》 其中有关类似部分将不再赘述。

二、什么是虚拟Honeyet

按照one  n  组织的定义:虚拟Hon yne 是一种可让你在单一的机器上运行所有东西的解决方案。之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。

蜜网是在蜜罐技术上逐步发展起来的一个新的概念, 又称为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术,所谓的高交互意味着蜜网中用真实的操作系统、应用程序以及服务来跟攻击者进行交互而不是像 neyd那样仅提供模拟的系统和服务。与传统蜜罐技

术的差异在于, 蜜网构成了一个黑客诱捕网络体系架构在这个架构中 可以包含一个或多个蜜罐, 同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。一个典型的蜜网通常有防火墙、入侵检测系统 ID S)和多个蜜罐主机组成。防火墙和ID对所有进出蜜网的数据进行捕获和控制,然后对所捕获的信息加以分析,以便获取关于攻击者的一些情报。在蜜网内部, 可以放置任何类型的系统在充当蜜罐, 如Solari s 、 Linux、W doNT、 Ci   o交换机等。这样,就为攻击者创造了一个感觉更真实的网络环境。同时通过对各个系统配置不同的服务例如DN、W 、服务器或者Sol  ris FTP服务器,就可以了解攻击者使用的各种工具和战术。

下面是本文部署的第三代虚拟ne net的网络拓扑图。

虚拟Hneynet主要分成两类:

1  自包含虚拟Honyne t(S l  -Cont ine  Honeyne t  这种类别的o  y

 et把它的各个组成部分都安装在单一的一台机器上。

2 混合虚拟Ho e  net(Hy  r  d Ho ey   t  :这种类别的H ne  net并不局限与一台机器,而是把它的组成部分分开在多台机器上部署。

我们在这里部署的自包含的虚拟Hon  n  t 。下面首先介绍一下Vwre的网络连接方式。

三、 VMwre Worksttion上的网络连接方式

Vw  Works  atio 是一个虚拟机软件,可以运行在Linux和Win ows两种平台下它可以模拟主板、 内存、硬盘、 网卡、声卡、U口等多种硬件。

运行在Vm r  Workstaion下面简称Vmare 上的操作系统的网络连接方式有三种:

桥接方式(Bridge  :在桥接方式下,Vmwa  模拟一个虚拟的网卡给客户系统,主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样 自己直接连上网络,也就是说客户系统对于外部直接可见。

网络地址转换方式 AT 在这种方式下客户系统不能自己连接网络,而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下,客户系统对于外部不可见。

主机方式 o  t-Only) 在这种方式下,主系统模拟一个虚拟的交换机,所有的客户系统通过这个交换机进出网络。在这种方式下,如果主系统是用公网IP连接Inte  et,那客户系统只能用私有 P。但是如果我们另外安装一个系统通过桥接方式连接Interne  (这时这个系统成为一个桥接器) ,则我们可以设置这些客户系统的IP为公网IP,直接从这个虚拟的桥接器连接Internet 下面将会看到,我们正是通过这种方式来搭建我们的自包含的虚拟ony  e t的。

四、基于VMware W ksa ion的第三代虚拟Hoeyne的部署实例

下面是部署基于mare的第三代虚拟Ho eyne 的软硬件要求

软件

ma  e W  kstation 4.2.5-8  48 for Linux;

vr -n - ny-updat  93   ar.gz

 one wall CRO;

硬件:

4/  024M 80G/Inte  eep  o1000

部署过程如下:

 .Vmwar  o  ks  at  on的安装及配置

1 安装VMware-workst  tio  

我们从VMar 的网站上下载了l inux平台下的VMar  work  tat  on,使用下面的命令进行安装

安装过程按默认的就行,关于Mare的网络配置会在下面有详细介绍。

2)为Ma  -workst  t   n安装 at  h:

这个版本在内部的桥接上有点bug 我们下载了补丁vmware-any-any-  pdate9 . t  r.g并进行安装:

3)对VMwa  的内部网络进行配置:

我们使用的这台电脑有三个物理网卡,分别是eth0  eth1和e  h2,其中e   0是千兆网卡。由于 n ya l l不能识别千兆网卡,所以我们使用了e   1和e  h2作为桥接的网卡,来生成两个不同的网段一个是H ne  net的网段,一个是管理接口的网段。分别把VMw 的vmnet0和vmnt2桥接到eth1和eth2上。具体步骤如下

输入命令:vmar -confi .  l

根据提示进行配置

Var 的虚拟网络桥接应该是下面这样:

主机的两个网卡设的 P应该与mnet0和mnet2的I 是处于一个网段的,这里我们把eth1的IP设为192  168.0   而把eth2的I 设为192.168  1  ,这样管理机和虚拟Honey  o t就不在同一个网段上保证了管理机的安全性。

2.R oo e wal l的安装及配置

1 安装Roo one  l  :

输入命令:vmware&,打开VMware-wo  k ta  ion.

从i le菜单New一个V  tua Ma  ine,安装方式选择custi n,如下:

选择2.6内核:

设定内存,建议至少2  6MB:

选择网络连接方式,这个虚拟网卡将作为eth0连接外部网络所以选择了Bridged方式桥接到主机的物理网卡:

选择I/适配器类型:

安装方式,我们选择了Create  nwvi    al dis  

选择虚拟磁盘类型,由于Hneyall CDRO只支持 ,故这里选择IDE类型: