基于虚拟机Vmware的第三代虚拟蜜网部署和实例答题.docVIP

PAGE  PAGE 29 狩猎女神项目组技术报告 北京大学计算机科学技术研究所 基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析 The Artemis Project/狩猎女神项目组 柳亚鑫，吴智发，诸葛建伟 一、先决条件 在阅读本文前，请先阅读 HYPERLINK /papers/honeynet/index.html Know Your Enemy: Honeynets，Know Your Enemy: GenII Honeynets和Know Your Enemy：Honeywall CDROM Roo，可到/papers进行学习。对Honeynets的概念和第三代Honeynet (Roo)技术有个清晰的认识，并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告《基于Vmware workstation的虚拟Honeynet》，其中有关类似部分将不再赘述。 二、什么是虚拟Honeynet 按照Honeynet组织的定义：虚拟Honeynet是一种可让你在单一的机器上运行所有东西的解决方案。之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。 蜜网是在蜜罐技术上逐步发展起来的一个新的概念,?又称为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术,?所谓的高交互意味着蜜网中用真实的操作系统、应用程序以及服务来跟攻击者进行交互而不是像Honeyd那样仅提供模拟的系统和服务。与传统蜜罐技术的差异在于,?蜜网构成了一个黑客诱捕网络体系架构,?在这个架构中,?可以包含一个或多个蜜罐,?同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。一个典型的蜜网通常有防火墙、入侵检测系统(?IDS)?和多个蜜罐主机组成。防火墙和IDS对所有进出蜜网的数据进行捕获和控制,?然后对所捕获的信息加以分析,?以便获取关于攻击者的一些情报。在蜜网内部,?可以放置任何类型的系统在充当蜜罐,?如Solaris、Linux、Windows?NT、Cisco交换机等。这样,?就为攻击者创造了一个感觉更真实的网络环境。同时通过对各个系统配置不同的服务,?例如DNS、Web、ftp、www服务器或者Solaris?FTP服务器,?就可以了解攻击者使用的各种工具和战术。 下面是本文部署的第三代虚拟Honeynet的网络拓扑图。 虚拟Honeynet主要分成两类： 自包含虚拟Honeynet(Self-Contained Honeynet)：这种类别的Honeynet把它的各个组成部分都安装在单一的一台机器上。 混合虚拟Honeynet(Hybrid Honeynet)：这种类别的Honeynet并不局限与一台机器，而是把它的组成部分分开在多台机器上部署。 我们在这里部署的自包含的虚拟Honeynet。下面首先介绍一下VMware的网络连接方式。 三、VMware Workstation上的网络连接方式 VMware Workstation是一个虚拟机软件，可以运行在Linux和Windows两种平台下，它可以模拟主板、内存、硬盘、网卡、声卡、USB口等多种硬件。 运行在Vmware Workstaion（下面简称Vmware）上的操作系统的网络连接方式有三种： 桥接方式（Bridge）：在桥接方式下，Vmware模拟一个虚拟的网卡给客户系统，主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。 网络地址转换方式（NAT）：在这种方式下，客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下，客户系统对于外部不可见。 主机方式（Host-Only）：在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络。在这种方式下，如果主系统是用公网IP连接Internet，那客户系统只能用私有IP。但是如果我们另外安装一个系统通过桥接方式连接Internet（这时这个系统成为一个桥接器），则我们可以设置这些客户系统的IP为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的自包含的虚拟Honeynet的。 四、基于VMware Workstation的第三代虚拟Honeynet的部署实例 下面是部署基于Vmware的第三代虚拟Honeynet的软硬件要求： 软件： ? Vmware Workstation 4.2.5-8848 for Linux； vmware-any-any-update93.tar.gz ?