第三代Honenet部署与数据库连接.docVIP

基于Honeynet的网络预警的研究与实现 目的：实现对特定攻击和威胁方式的预警 如攻击扫描，SYN FLOOD方式的拒绝服务攻击，另外动态展示网络拓扑结构和流量及预警信息 第一部分 Win32下的Honeynet环境部署： 使用的部分软硬件： VMwave 5.5 ROO-CDROM 1.4 windowsXP SP1(用于蜜罐机) windowsXP SP3(用于宿主机) Linux Redhat 8 100M单网卡 2G内存 Sebek 3.X X-sacn 3.3 SecureCRT 5.1.3 MySQL GUI Tools 5.0 拓扑图为这个： 1-1虚拟蜜网网关机（Honeywall）搭建与配置： 下面是与狩猎女神中国项目组文档写得不一样，在Roo1.4和VM5.5以上版本中，磁盘适配器注意选择LSI SCSI模式， 注意需要输入完整路径名： 为网关虚拟机添加两块网卡，一块Host-only模式，一块桥接模式： 因为宿主机只有一块物理网卡，所以需要在一块网卡上绑定两个IP： 载入ROO-CDROM的ISO文件，启动虚拟机后自动引导 回车开始自动安装... 安装完成后，进入系统：默认账号密码是roo / honey ，然后使用su - 指令提示权限，默认密码还是honey ： 设置蜜罐网络 (honeypot IP Address) 设置蜜罐网段（LAN CIDR Prefix ）： 设置蜜网网关: Honeywall configuration - Remote management 设置远程管理IP (Management IP): 设置管理网段掩码：（Management netmask）： 设置管理网段网关：（Management gateway）： Sebek配置： Honeywall configuration - Sebek: 1-2蜜罐机（honeypot）的安装与配置...： 1，正常步骤安装蜜罐虚拟机 2，正常步骤安装系统，如XP, Linux 3，将XP的IP的设置为11 4，将Linux的IP设置成为10 5，在蜜罐机上开放IIS，MySQL，telnet，网络打印机等服务... 另外，宿主机上VM自动生成的两个连接，叫什么Vnet1和 Vnet8的，不用设置，本来怎样就怎样 1-3关于数据的收集 1，sebek安装与使用 下载地址：/sebek/ 在蜜罐机winxp中安装sebek的客户端Sebek-Win32-3.0.4 利用共享文件夹将安装包拷进蜜罐机，执行setup.exe 然后运行Configuration Wizard配置sebek客户端： 注意：需要填写蜜网网关机Honeywall的Sebek通信口的mac地址，在本实验中为eth2，在honeywall中使用ifconfig eth2命令可获得 可以使用ifconfig eth0 xxx.xxx.xxx.xxx指令给eth0和eth1口也配上Ip ，不配也没什么关系 注意：下面的Magic号可以手动输入，可以自动生成，但是在所有蜜罐机上此号必须相同,建议把目的IP地址也写上，这里就是eth2口的ip地址。 1-3平台测试 然后可以用X-scan进行攻击测试了，顺便可以测试下Walleye和SSH登陆管理接口是否工作正常： 需要注意的是：（我就是卡在这个问题这里好久） ROO引进了一个新的格式处理工具Hflow,，将ebek 捕获到的结果、IDS 的报警信息、p0f 的系统识别结果、NIPS 的输出结果、Argus 的分析结果统一格式化处理，然后放入MySQL数据库。根据蜜网中国组的回信，得知Hflow进程可能会不稳定挂起，导致网络流数据无法解析进入mysql数据库。解决办法是在登陆honeywall后切换到root用户，运行 同样 Roo 提供的sebek 是3.x 版本，该版本与2.x 版本并不兼容，因此，在安装蜜罐时，也必须安装sebek 3.x 客户端。由于防火墙在记录sebek 时以sebek 服务器的地址进行判断，所以建议在蜜罐的 sebek 客户端文件 sbk_install.sh 设置sebek 的服务器IP 地址，虽然没有该IP 地址也可以工作。有时也会出现 sebek服务器启动出错，像上面的 hflow问题一样，运行 /etc/rc.d/init.d/sebekd restart 重启该服务。 开始测试： 使用SecureCRT登陆到honeywall的管理口 登陆正常： 使用X-scan扫描主机： 使用登陆W