基于虚拟机Vmware的第三代虚拟蜜网部署和实例精讲.doc

基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析 The Artemis Project/狩猎女神项目组 柳亚鑫，吴智发，诸葛建伟 一、先决条件 在阅读本文前，请先阅读Know Your Enemy: Honeynets，Know Your Enemy: GenII Honeynets和Know Your Enemy：Honeywall CDROM Roo，可到/papers进行学习。对Honeynets的概念和第三代Honeynet (Roo)技术有个清晰的认识，并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告《基于Vmware workstation的虚拟Honeynet》VMware Workstation是一个虚拟机软件，可以运行在Linux和Windows两种平台下Vmware Workstaion（下面简称Vmware）上的操作系统的网络连接方式有三种： 桥接方式（Bridge）：在桥接方式下，Vmware模拟一个虚拟的网卡给客户系统，主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。 网络地址转换方式（NAT）：在这种方式下，客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下，客户系统对于外部不可见。 主机方式（Host-Only）：在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络。在这种方式下，如果主系统是用公网IP连接Internet，那客户系统只能用私有IP。但是如果我们另外安装一个系统通过桥接方式连接Internet（这时这个系统成为一个桥接器），则我们可以设置这些客户系统的IP为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的自包含的虚拟Honeynet的。 四、基于VMware Workstation的第三代虚拟Honeynet的部署实例 下面是部署基于Vmware的第三代虚拟Honeynet的软硬件要求： 软件： ? Vmware Workstation 4.2.5-8848 for Linux； vmware-any-any-update93.tar.gz ? Honeywall CDROM； 硬件： P4/1024M/80G/Intel eepro1000 部署过程如下： 1. Vmware workstation的安装及配置 1）安装VMware-workstation: 我们从VMware的网站上下载了linux平台下的VMware-workstation，使用下面的命令进行安装： 安装过程按默认的就行，关于VMware的网络配置会在下面有详细介绍。 2）为VMware-workstation安装patch： 这个版本在内部的桥接上有点bug，我们下载了补丁vmware-any-any-update93.tar.gz并进行安装： 3)对VMware的内部网络进行配置： 我们使用的这台电脑有三个物理网卡，分别是eth0，eth1和eth2，其中eth0是千兆网卡。由于Honeywall不能识别千兆网卡，所以我们使用了eth1和eth2作为桥接的网卡，来生成两个不同的网段，一个是Honeynet的网段，一个是管理接口的网段。分别把VMware的vmnet0和vmnet2桥接到eth1和eth2上。具体步骤如下 输入命令： vmware-config.pl 根据提示进行配置： VMware的虚拟网络桥接应该是下面这样： 主机的两个网卡设的IP应该与vmnet0和vmnet2的IP是处于一个网段的，这里我们把eth1的IP设为，而把eth2的IP设为，这样管理机和虚拟Honeypot就不在同一个网段上，保证了管理机的安全性。 2. Roo Honeywall的安装及配置 1）安装Roo Honeywall: 输入命令：vmware,打开VMware-workstation. 从File菜单New一个Virtual Machine，安装方式选择custion,如下： 选择2.6内核： 设定内存，建议至少256MB： 选择网络连接方式，这个虚拟网卡将作为eth0连接外部网络，所以选择了Bridged方式桥接到主机的物理网卡： 选择I/O适配器类型： 安装方式，我们选择了Create a new virtual disk： 选择虚拟磁盘类型，由于Honeywall CDROM只支持IDE，故这里选择IDE类型： 作为Honeywall