基于虚拟机Vmware的第三代虚拟蜜网部署和实例分析.doc

基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析

The Artemis Project/狩猎女神项目组

柳亚鑫，吴智发，诸葛建伟

一、先决条件

在 阅 读 本 文 前 ， 请 先 阅 读 Know Your Enemy: Honeynets ， Know Your Enemy: GenII

Honeynets和Know Your Enemy：Honeywall CDROM Roo，可到http://www.honeynet.org/papers进

行学习。对Honeynets的概念和第三代Honeynet (Roo)技术有个清晰的认识，并完全了解Roo的

部署软 / 硬件要求。请首先阅读狩猎 女神 项目技术报告 《基 于Vmware workstation 的虚拟

是一类研究型的高交互蜜罐技术,%所谓的高交互意味着蜜网中用真实的操作系统、应用程序以

及服务来跟攻击者进行交互而不是像 Honeyd 那样仅提供模拟的系统和服务。与传统蜜罐技术

的差异在于,%蜜网构成了一个黑客诱捕网络体系架构,%在这个架构中,%可以包含一个或多个蜜罐,%

同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。一个典型

的蜜网通常有防火墙、入侵检测系统(%IDS)%和多个蜜罐主机组成。防火墙和 IDS 对所有进出蜜

网的数据进行捕获和控制,%然后对所捕获的信息加以分析,%以便获取关于攻击者的一些情报。在

蜜网内部,%可以放置任何类型的系统在充当蜜罐,%如 Solaris、Linux、Windows%NT、Cisco 交换

机等。这样,%就为攻击者创造了一个感觉更真实的网络环境。同时通过对各个系统配置不同的

服务,%例如 DNS、Web、ftp、www 服务器或者 Solaris%FTP 服务器,%就可以了解攻击者使用的各

种工具和战术。

我们在这里部署的自包含的虚拟 Honeynet。下面首先介绍一下 VMware 的网络连接方式。

三、VMware Workstation上的网络连接方式

VMware Workstation 是一个虚拟机软件，可以运行在 Linux 和 Windows 两种平台下，它可

以模拟主板、内存、硬盘、网卡、声卡、USB 口等多种硬件。

运行在 Vmware Workstaion（下面简称 Vmware）上的操作系统的网络连接方式有三种：

 桥接方式（Bridge）：在桥接方式下， Vmware 模拟一个虚拟的网卡给客户系统，主

系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样，自

己直接连上网络，也就是说客户系统对于外部直接可见。

 网络地址转换方式（NAT）：在这种方式下，客户系统不能自己连接网络，而必须通

过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下，客户

系统对于外部不可见。

四、基于VMware Workstation的第三代虚拟Honeynet的部署

实例

下面是部署基于 Vmware 的第三代虚拟 Honeynet 的软硬件要求：

软件：

 Vmware Workstation 4.2.5-8848 for Linux；

vmware-any-any-update93.tar.gz

 Honeywall CDROM；

硬件：

P4/1024M/80G/Intel eepro1000

部署过程如下：

这个版本在内部的桥接上有点 bug，我们下载了补丁 vmware-any-any-update93.tar.gz 并进

行安装：

3)对 VMware 的内部网络进行配置：

我们使用的这台电脑有三个物理网卡，分别是 eth0，eth1 和 eth2，其中 eth0 是千兆网卡。

由于 Honeywall 不能识别千兆网卡，所以我们使用了 eth1 和 eth2 作为桥接的网卡，来生成两个

不同的网段，一个是 Honeynet 的网段，一个是管理接口的网段。分别把 VMware 的 vmnet0 和

vmnet2 桥接到 eth1 和 eth2 上。具体步骤如下

输入命令：

vmware-config.pl

根据提示进行配置：