基于Vmware workstation的第三代虚拟蜜网部署和实例分析

1、基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析The Artemis Project/狩猎女神项目组柳亚鑫，吴智发，诸葛建伟一、先决条件在阅读本文前，请先阅读Know Your Enemy: Honeynets，Know Your Enemy: GenII Honeynets和Know Your Enemy：Honeywall CDROM Roo，可到/papers进行学习。对Honeynets的概念和第三代Honeynet (Roo)技术有个清晰的认识，并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告基于Vmwa

2、re workstation的虚拟Honeynet，其中有关类似部分将不再赘述。2、 蜜罐“蜜网项目组”（TheHoneynetProject）的创始人 Lance Spitzner 给出了对蜜罐的权威定 义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。 这就意味着无论我们将何物指定为蜜罐，我们的期望和目标就是让系统被别人探测，攻击和被攻破的可能性。而这种资源是路由，或者是模拟脚本，或者是主机之类的，究竟的什么倒没什么关系。如果该系统从未被扫描或者被攻击过，那么它就是没有任何价值 的。这正是大部分产品系统的对立面，一般大家都不会希望它们被扫描和被攻击。蜜罐和大部分安全工具的不同也在于，它

3、可以非常的灵活，可以使用它实现很多不同的目标，譬如，蜜罐可以用于阻止攻击，类似于防火墙；蜜罐还可以用于检测攻击，类似于入侵检测系统；无论是伪装一个端口，还是模拟一个网络拓扑，蜜罐都可以胜任。蜜罐是一种毫无产品价值可言的安全资源，没有任何人或者资源应该和它们进行通信。因此，从本质上说任何发送给它们的活动都会受到怀疑。任何发送给它们的流量都很有可能是一次探测、扫描或者攻击。由蜜罐所启动的任何流量都意味着系统很有可能被攻破了，并且攻击者正在进行出境连接。 蜜罐的优势与劣势：优势：数据价值，收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击

4、造成的，蜜罐不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。 资源，蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投入。大多数安全机制都会面临资源限制和资源枯竭，譬如防火墙和 IDS， 会因为流量过大，超负荷而失效。由于蜜罐只会对少量活动进行捕获和监视，所以通常不会资源枯竭。部署蜜罐也不需要最新的尖端技术或者大量的内存，超高的带宽，并不需要对硬件进行大量投入。相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够 比较容易地掌握黑客攻击的一些知识。 劣势： 视野有限，蜜罐只能看到何种活动是直接针对他们自身的，如果某个攻击者并不攻击蜜罐，或者说识

5、别出蜜罐的存在而刻意避开该系统，蜜罐将永远无法得知他已经溜进来了。甚至他会向蜜罐提供错误和虚假的数据，从而误导安全防护和研究人员。 指纹识别，蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真 实身份。如果一个黑客识别出一个蜜罐，他可以利用它，对它欺骗，导致安全人员做出错 误判断，以此趁乱作出攻击。 风险，蜜罐会带来下游风险，可能作为跳板，攻击第三方。蜜罐技术的初衷即是让 黑客攻破蜜罐并获得蜜罐的控制权限，并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为，但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了确保黑客活动不对外构成威胁，必须引入多个层次的数据控制措施，必要的时候需要研究

6、人员的人工干预。 三、什么是虚拟Honeynet按照Honeynet组织的定义：虚拟Honeynet是一种可让你在单一的机器上运行所有东西的解决方案。之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。蜜网是在蜜罐技术上逐步发展起来的一个新的概念, 又称为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术, 所谓的高交互意味着蜜网中用真实的操作系统、应用程序以及服务来跟攻击者进行交互而不是像Honeyd那样仅提供模拟的系统和服务。与传统蜜罐技术的差异在于, 蜜网构成了一个黑客诱捕网络体系架构, 

7、在这个架构中, 可以包含一个或多个蜜罐, 同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。一个典型的蜜网通常有防火墙、入侵检测系统( IDS) 和多个蜜罐主机组成。防火墙和IDS对所有进出蜜网的数据进行捕获和控制, 然后对所捕获的信息加以分析, 以便获取关于攻击者的一些情报。在蜜网内部, 可以放置任何类型的系统在充当蜜罐, 如Solaris、Linux、Windows NT、Cisco交换机等。这样, 就为攻击者创造了一个感觉更真实的网络环境。同时通过对各个系统配置不同

8、的服务, 例如DNS、Web、ftp、www服务器或者Solaris FTP服务器, 就可以了解攻击者使用的各种工具和战术。下面是本文部署的第三代虚拟Honeynet的网络拓扑图。虚拟Honeynet主要分成两类：1 自包含虚拟Honeynet(Self-Contained Honeynet)：这种类别的Honeynet把它的各个组成部分都安装在单一的一台机器上。2 混合虚拟Honeynet(Hybrid Honeynet)：这种类别的Honeynet并不局限与一台机器，而是把它的组成部分分开在多台机器上部署。我们在这里部署的自包含的虚拟Honeynet。下面首先

9、介绍一下VMware的网络连接方式。三、VMware Workstation上的网络连接方式VMware Workstation是一个虚拟机软件，可以运行在Linux和Windows两种平台下，它可以模拟主板、内存、硬盘、网卡、声卡、USB口等多种硬件。运行在Vmware Workstaion（下面简称Vmware）上的操作系统的网络连接方式有三种：l 桥接方式（Bridge）：在桥接方式下，Vmware模拟一个虚拟的网卡给客户系统，主系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。l 网络地址转换方式（NAT）：在这

10、种方式下，客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下，客户系统对于外部不可见。l 主机方式（Host-Only）：在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络。在这种方式下，如果主系统是用公网IP连接Internet，那客户系统只能用私有IP。但是如果我们另外安装一个系统通过桥接方式连接Internet（这时这个系统成为一个桥接器），则我们可以设置这些客户系统的IP为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的自包含的虚拟Honeynet的。四、

11、基于VMware Workstation的第三代虚拟Honeynet的部署实例下面是部署基于Vmware的第三代虚拟Honeynet的软硬件要求：软件：lVmware Workstation 4.2.5-8848 for Linux；vmware-any-any-update93.tar.gzlHoneywall CDROM；硬件：P4/1024M/80G/Intel eepro1000部署过程如下：1. Vmware workstation的安装及配置1）安装VMware-workstation:我们从VMware的网站上下载了linux平台下的VMware-workstation，使用下面

12、的命令进行安装：安装过程按默认的就行，关于VMware的网络配置会在下面有详细介绍。2）为VMware-workstation安装patch：这个版本在内部的桥接上有点bug，我们下载了补丁vmware-any-any-update93.tar.gz并进行安装：3)对VMware的内部网络进行配置：我们使用的这台电脑有三个物理网卡，分别是eth0，eth1和eth2，其中eth0是千兆网卡。由于Honeywall不能识别千兆网卡，所以我们使用了eth1和eth2作为桥接的网卡，来生成两个不同的网段，一个是Honeynet的网段，一个是管理接口的网段。分别把VMware的vmnet0和vmnet

13、2桥接到eth1和eth2上。具体步骤如下 输入命令：vmware-config.pl根据提示进行配置：VMware的虚拟网络桥接应该是下面这样：主机的两个网卡设的IP应该与vmnet0和vmnet2的IP是处于一个网段的，这里我们把eth1的IP设为，而把eth2的IP设为，这样管理机和虚拟Honeypot就不在同一个网段上，保证了管理机的安全性。2. Roo Honeywall的安装及配置1）安装Roo Honeywall:输入命令：vmware&,打开VMware-workstation.从File菜单New一个Virtual Mach

14、ine，安装方式选择custion,如下：选择2.6内核：设定内存，建议至少256MB：选择网络连接方式，这个虚拟网卡将作为eth0连接外部网络，所以选择了Bridged方式桥接到主机的物理网卡：选择I/O适配器类型：安装方式，我们选择了Create a new virtual disk：选择虚拟磁盘类型，由于Honeywall CDROM只支持IDE，故这里选择IDE类型：作为Honeywall，需要有三块网卡，上面已经有了连接外部的虚拟网卡eth0，下面我们添加另外两块虚拟网卡，分别是连接内部网络的eth1和连接管理机的eth2。在左边的Favoriates里选择Honeywall系统，右

15、键点击选择Edit，出现虚拟机配置面板，在Hardware标签下面选择Add，添加一个虚拟网卡，在Use virtual device里选择viance，而不要选择vmxnet，如果选择vmxnet的话，在安装的时候系统将认不到这个网卡，在Network connection里选择Custom方式，并选择/dev/vmnet1，这个虚拟网卡即是连接Honeypots的eth1：然后再添加另外一个网卡，对于Use virtual device也选择viance，Network connection选择Custom方式的/dev/vmnet2，这个网卡即是连接管理机的eth2：下面就开始安装Hon

16、eywall的CDROM了：我们选择从硬盘镜像安装，具体步骤就是在虚拟机配置面板选择DVD/CD-ROM，右面面板的连接选择使用ISO镜像，并选定镜像的位置，这里我们使用的是最新版的Roo Honeywall：roo-1.0.hw-139.iso。然后启动虚拟机，进BIOS设定从CDROM启动，就可以开始安装了，安装过程几乎是自动化的。Roo Honeywall系统只允许用帐户roo来登陆，然后su 到root帐户，并进行相关操作，roo和root帐户的初始密码都是honey，登陆成功可以更改。如下图：2) 配置Roo Honeywall首次启动系统时，会进入Honeywall的配置界面，如下

17、，以后在字符界面输入menu也可进入配置界面。几乎所有的honeywall配置和管理功能都可以通过这个用户界面进行配置。我们选择interview的方式来进行配置：下面是配置的五个阶段，没有提到的按默认即可。第一阶段是配置Honeywall的网关信息：防火墙的模式，这里选择bridge：Honeypot的IP地址，多个IP用空格隔开，虚拟主机Honeywall在这里是作为一个桥接器，而VMware的默认桥接vmnet1是桥接到了eth1上，所以Honeypot的IP应该与主机的eth1同一个网段，作为测试，我们设了两个私有IP和，而把主机eth1的I

18、P设为了。局域网CIDR前缀：局域网广播地址：如果网卡已经安装，会提示找到了eth0（外部）和eth1（内部）。第二阶段是管理接口：首先选择是否建立管理接口：我们选择建立，询问以那个网卡作为管理接口，这里是eth2：如果虚拟网卡eth2已经安装，将弹出找到eth2的提示：管理接口的IP地址，子网掩码，网关：管理接口的DNS域，我们填入roo，还有DNS服务器的IP地址：询问是否激活并在下一次启动时使用配置SSH登陆，监听端口，是否允许远程登陆，和管理接口流入和流出的数据的端口号：第三阶段是数据配置控制：连接限制，可选的时间单位有秒，分，小时，天和月。TCP，UDP，ICM

19、P和其他协议分别设置单位时间允许出境连接包的上限，选择防火墙是否将包发给snort_inline，snort_inline对已知攻击包有三种处理方式Drop、Reject、Replace三种选择。第四阶段是配置DNS，设置是否允许对honeypot不受限制的DNS访问以及是否允许不受限制的访问外部DNS。第五阶段是配置自动报警和sebek选项。若选择自动报警，honeywall就会启动swatch，只需设置接收报警的Email地址即可。设置sebek包的目的地址：设置sebek包的目的端口（默认为1101）：设置sebek包的选项，sebek包选项有Drop、Drop and Log、Acce

20、pt、Accept and Log。Drop就是在防火墙丢弃sebek包，但snort会将其记录下来；Drop and Log和Drop一样，另外防火墙日志也会记录；Accept是在防火墙接收包；Accept and Log和Accept一样，同时防火墙日志也会记录。3. Honeypot的安装及配置1）安装Honeypot安装Honeypot时，网络连接方式为：Use virtual device选择vianceNetwork Connection选择Custom的vmnet1。vmnet1为VMware内部的一个虚拟交换机，组成虚拟的蜜网网络。安装的Honeypot主机连接到这个网络，通过

21、Honeywall这个桥接器，与外界网络连通。其他的安装与物理Honeypot的安装就一样了，只是在设置网络IP的时候要设成我们在配置Honeywall的时候填入的IP地址。作为测试，我们只安装了一个Honeypot，是Red Hat9.0的操作系统。2）在Honeypot上安装Sebek Client在linux环境下安装sebek客户端，需要更改sbk_install.sh文件，找到下面几个变量，更改为右边的相应参数。目的IP，MAC地址，源端口，目的端口DESTINATION_IP="" (MANAGEMENT_IP)DESTINATION_MA

22、C="00:0C:29:12:86:6D" (MANAGEMENT_MAC)SOURCE_PORT=1101DESTINATION_PORT=1101magic值是一个四个字节的正整数，区分哪些sebek包应当隐藏，同一个Honeynet内的Honeypot的magic值应该设成一样。MAGIC_VALUE=XXXXXKEYSTOKE_ONLY=1SOCKET_TRACKING=1TESTING=0然后输入下面的命令，就可以安装了：./configuremake./sbk_install.sh4 对安装好的Honeynet进行测试Host主机ping一下Honeypot主机

23、：Honeypot主机ping Host主机：测试远程连接：我们把主机的IP加入了Honeywall的允许远程登录列表中，通过主机来进行连接：sshTTrootTTsu 如图，可以登入web界面访问：在浏览器地址栏中输入 TTTT就可以得到下面：然后用帐号roo登入就可以进行管理。至此，Honeynet的安装已经完成。五、对Honeypot的攻击事例分析下面是对Honeypot主机的攻击实例还有相关分析。我们首先介绍一下samba协议。在NetBIOS出现之后，Microsoft就使用NetBIOS实现了一个网络文件/打印服务系统，这个

24、系统基于NetBIOS设定了一套文件共享协议，Microsoft称之为SMB（Server Message Block）协议。为了让Windows和Unix计算机之间的资源共享，最好的办法即是在Unix计算机中安装支持SMB/CIFS协议的软件。Samba是用来实现SMB的一种软件，它的工作原理是，让NETBIOS（Windows95网络邻居的通讯协议）和SMB（Server Message Block）这两个协议运行于TCP/IP通信协议之上，并且使用Windows的NETBEUI协议让Unix计算机可以在网络邻居上被Windows计算机看到。但是，在linux平台上版本比较老的samba服

25、务的smbd守护进程由于对外部输入缺少正确的边界缓冲区检查，远程攻击者可以利用这个漏洞以root用户权限在系统上执行任意指令。我们在这里正是利用了这个漏洞来进行攻击。1）在Honeypot上开放samba服务：这时samba服务会向局域网广播地址发送netbios协议的UDP包，当然，这个包也会被我们的Honeywall所捕获。如下图：上面显示的分别是数据包的时间，发包的进程ID，源地址和目的地址，协议等等。左边的几个按钮分别是进程树，相关数据包，包的具体描述和数据包pcap格式下载。下面是进程树：2）对Honeypot主机进行攻击。攻击的工具我们使用了Metasploit的工具包，在这个地址可以下载到。 /projects/Framework/downloads.html输入命令./msfconsole，进入Metasploit的命令行：选择使用samba_tran2open的exploit，设定要执行的代码linux_ia32_reverse,即获得一个反向的Shell，并设定相关的选项：必须要设的选项有RHOST：远程主机即Honeypot的IPLHOST：本地主机即攻击机的IPTARGET：攻击目标操作系统，这里是linux