基于Vmware的第三代虚拟Honeynet部署以及攻击

1、基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析The Artemis Project/狩猎女神项目组柳亚鑫，吴智发，诸葛建伟一、先决条件在阅读本文前，请先阅读 HYPERLINK /papers/honeynet/index.html Know Your Enemy: Honeynets，Know Your Enemy: GenII Honeynets和Know Your Enemy：Honeywall CDROM Roo，对Honeynets的概念和第三代Honeynet (Roo)技术有个清晰的认识，并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告基于V

2、mware workstation的虚拟Honeynet，其中有关类似部分将不再赘述。二、什么是虚拟Honeynet按照Honeynet组织的定义：虚拟Honeynet是一种可让你在单一的机器上运行所有东西的解决方案。之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。下面是本文部署的第三代虚拟Honeynet的网络拓扑图。虚拟Honeynet主要分成两类：自包含虚拟Honeynet(Self-Contained Honeynet)：这种类别的Honeynet把它的各个组成部分都安装在单一的一台机器上。混合虚拟Honeynet(Hybri

3、d Honeynet)：这种类别的Honeynet并不局限与一台机器，而是把它的组成部分分开在多台机器上部署。我们在这里部署的自包含的虚拟Honeynet。下面首先介绍一下VMware的网络连接方式。三、VMware Workstation上的网络连接方式VMware Workstation是一个虚拟机软件，可以运行在Linux和Windows两种平台下，它可以模拟主板、内存、硬盘、网卡、声卡、USB口等多种硬件。运行在Vmware Workstaion（下面简称Vmware）上的操作系统的网络连接方式有三种：桥接方式（Bridge）：在桥接方式下，Vmware模拟一个虚拟的网卡给客户系统，主

4、系统对于客户系统来说相当于是一个桥接器。客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。网络地址转换方式（NAT）：在这种方式下，客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换。在这种方式下，客户系统对于外部不可见。主机方式（Host-Only）：在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络。在这种方式下，如果主系统是用公网IP连接Internet，那客户系统只能用私有IP。但是如果我们另外安装一个系统通过桥接方式连接Internet（这时这个系统成为一个桥接器），则我们可以设置这些

5、客户系统的IP为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的自包含的虚拟Honeynet的。四、基于VMware Workstation的第三代虚拟Honeynet的部署实例下面是部署基于Vmware的第三代虚拟Honeynet的软硬件要求：软件：Vmware Workstation 4.2.5-8848 for Linux；vmware-any-any-update93.tar.gzHoneywall CDROM；硬件：P4/1024M/80G/Intel eepro1000部署过程如下：1. Vmware workstation的安装

6、及配置1）安装VMware-workstation:我们从VMware的网站上下载了linux平台下的VMware-workstation，使用下面的命令进行安装：安装过程按默认的就行，关于VMware的网络配置会在下面有详细介绍。2）为VMware-workstation安装patch：这个版本在内部的桥接上有点bug，我们下载了补丁vmware-any-any-update93.tar.gz并进行安装：3)对VMware的内部网络进行配置：我们使用的这台电脑有三个物理网卡，分别是eth0，eth1和eth2，其中eth0是千兆网卡。由于Honeywall不能识别千兆网卡，所以我们使用了et

7、h1和eth2作为桥接的网卡，来生成两个不同的网段，一个是Honeynet的网段，一个是管理接口的网段。分别把VMware的vmnet0和vmnet2桥接到eth1和eth2上。具体步骤如下 输入命令：vmware-config.pl根据提示进行配置：VMware的虚拟网络桥接应该是下面这样：主机的两个网卡设的IP应该与vmnet0和vmnet2的IP是处于一个网段的，这里我们把eth1的IP设为，而把eth2的IP设为，这样管理机和虚拟Honeypot就不在同一个网段上，保证了管理机的安全性。2. Roo Honeywall的安装及配置1）安装Roo Honeywall:输入命令：vmwar

8、e&,打开VMware-workstation.从File菜单New一个Virtual Machine，安装方式选择custion,如下：选择2.6内核：设定内存，建议至少256MB：选择网络连接方式，这个虚拟网卡将作为eth0连接外部网络，所以选择了Bridged方式桥接到主机的物理网卡：选择I/O适配器类型：安装方式，我们选择了Create a new virtual disk：选择虚拟磁盘类型，由于Honeywall CDROM只支持IDE，故这里选择IDE类型：作为Honeywall，需要有三块网卡，上面已经有了连接外部的虚拟网卡eth0，下面我们添加另外两块虚拟网卡，分别是连接内部网

9、络的eth1和连接管理机的eth2。在左边的Favoriates里选择Honeywall系统，右键点击选择Edit，出现虚拟机配置面板，在Hardware标签下面选择Add，添加一个虚拟网卡，在Use virtual device里选择viance，而不要选择vmxnet，如果选择vmxnet的话，在安装的时候系统将认不到这个网卡，在Network connection里选择Custom方式，并选择/dev/vmnet1，这个虚拟网卡即是连接Honeypots的eth1：然后再添加另外一个网卡，对于Use virtual device也选择viance，Network connection选择

10、Custom方式的/dev/vmnet2，这个网卡即是连接管理机的eth2：下面就开始安装Honeywall的CDROM了：我们选择从硬盘镜像安装，具体步骤就是在虚拟机配置面板选择DVD/CD-ROM，右面面板的连接选择使用ISO镜像，并选定镜像的位置，这里我们使用的是最新版的Roo Honeywall：roo-1.0.hw-139.iso。然后启动虚拟机，进BIOS设定从CDROM启动，就可以开始安装了，安装过程几乎是自动化的。Roo Honeywall系统只允许用帐户roo来登陆，然后su 到root帐户，并进行相关操作，roo和root帐户的初始密码都是honey，登陆成功可以更改。如下

11、图：2) 配置Roo Honeywall首次启动系统时，会进入Honeywall的配置界面，如下，以后在字符界面输入menu也可进入配置界面。几乎所有的honeywall配置和管理功能都可以通过这个用户界面进行配置。我们选择interview的方式来进行配置：下面是配置的五个阶段，没有提到的按默认即可。第一阶段是配置Honeywall的网关信息：防火墙的模式，这里选择bridge：Honeypot的IP地址，多个IP用空格隔开，虚拟主机Honeywall在这里是作为一个桥接器，而VMware的默认桥接vmnet1是桥接到了eth1上，所以Honeypot的IP应该与主机的eth1同一个网段，作

12、为测试，我们设了两个私有IP和，而把主机eth1的IP设为了。局域网CIDR前缀：局域网广播地址：如果网卡已经安装，会提示找到了eth0（外部）和eth1（内部）。第二阶段是管理接口：首先选择是否建立管理接口：我们选择建立，询问以那个网卡作为管理接口，这里是eth2：如果虚拟网卡eth2已经安装，将弹出找到eth2的提示：管理接口的IP地址，子网掩码，网关：管理接口的DNS域，我们填入roo，还有DNS服务器的IP地址：询问是否激活并在下一次启动时使用配置SSH登陆，监听端口，是否允许远程登陆，和管理接口流入和流出的数据的端口号：第三阶段是数据配置控制：连接限制，可选的时间单位有秒，分，小时，

13、天和月。TCP，UDP，ICMP和其他协议分别设置单位时间允许出境连接包的上限，选择防火墙是否将包发给snort_inline，snort_inline对已知攻击包有三种处理方式Drop、Reject、Replace三种选择。第四阶段是配置DNS，设置是否允许对honeypot不受限制的DNS访问以及是否允许不受限制的访问外部DNS。第五阶段是配置自动报警和sebek选项。若选择自动报警，honeywall就会启动swatch，只需设置接收报警的Email地址即可。设置sebek包的目的地址：设置sebek包的目的端口（默认为1101）：设置sebek包的选项，sebek包选项有Drop、Dr

14、op and Log、Accept、Accept and Log。Drop就是在防火墙丢弃sebek包，但snort会将其记录下来；Drop and Log和Drop一样，另外防火墙日志也会记录；Accept是在防火墙接收包；Accept and Log和Accept一样，同时防火墙日志也会记录。3. Honeypot的安装及配置1）安装Honeypot安装Honeypot时，网络连接方式为：Use virtual device选择vianceNetwork Connection选择Custom的vmnet1。vmnet1为VMware内部的一个虚拟交换机，组成虚拟的蜜网网络。安装的Honey

15、pot主机连接到这个网络，通过Honeywall这个桥接器，与外界网络连通。其他的安装与物理Honeypot的安装就一样了，只是在设置网络IP的时候要设成我们在配置Honeywall的时候填入的IP地址。作为测试，我们只安装了一个Honeypot，是Red Hat9.0的操作系统。2）在Honeypot上安装Sebek Client在linux环境下安装sebek客户端，需要更改sbk_install.sh文件，找到下面几个变量，更改为右边的相应参数。目的IP，MAC地址，源端口，目的端口DESTINATION_IP= (MANAGEMENT_IP)DESTINATION_MAC=00:0C:

16、29:12:86:6D (MANAGEMENT_MAC)SOURCE_PORT=1101DESTINATION_PORT=1101magic值是一个四个字节的正整数，区分哪些sebek包应当隐藏，同一个Honeynet内的Honeypot的magic值应该设成一样。MAGIC_VALUE=XXXXXKEYSTOKE_ONLY=1SOCKET_TRACKING=1TESTING=0然后输入下面的命令，就可以安装了：./configuremake./sbk_install.sh4 对安装好的Honeynet进行测试Host主机ping一下Honeypot主机：Honeypot主机ping Host

17、主机：测试远程连接：我们把主机的IP加入了Honeywall的允许远程登录列表中，通过主机来进行连接：ssh HYPERLINK mailto:root TTrootTTsu 如图，可以登入web界面访问：在浏览器地址栏中输入 HYPERLINK TTTT就可以得到下面：然后用帐号roo登入就可以进行管理。至此，Honeynet的安装已经完成。五、对Honeypot的攻击事例分析下面是对Honeypot主机的攻击实例还有相关分析。我们首先介绍一下samba协议。在NetBIOS出现之后，Microsoft就使用NetBIOS实现了一个网络文件/打印服务系统，这个系统基于NetBIOS设定了一套

18、文件共享协议，Microsoft称之为SMB（Server Message Block）协议。为了让Windows和Unix计算机之间的资源共享，最好的办法即是在Unix计算机中安装支持SMB/CIFS协议的软件。Samba是用来实现SMB的一种软件，它的工作原理是，让NETBIOS（Windows95网络邻居的通讯协议）和SMB（Server Message Block）这两个协议运行于TCP/IP通信协议之上，并且使用Windows的NETBEUI协议让Unix计算机可以在网络邻居上被Windows计算机看到。但是，在linux平台上版本比较老的samba服务的smbd守护进程由于对外部输

19、入缺少正确的边界缓冲区检查，远程攻击者可以利用这个漏洞以root用户权限在系统上执行任意指令。我们在这里正是利用了这个漏洞来进行攻击。1）在Honeypot上开放samba服务：这时samba服务会向局域网广播地址发送netbios协议的UDP包，当然，这个包也会被我们的Honeywall所捕获。如下图：上面显示的分别是数据包的时间，发包的进程ID，源地址和目的地址，协议等等。左边的几个按钮分别是进程树，相关数据包，包的具体描述和数据包pcap格式下载。下面是进程树：2）对Honeypot主机进行攻击。攻击的工具我们使用了Metasploit的工具包，在这个地址可以下载到。 /projects

20、/Framework/downloads.html输入命令./msfconsole，进入Metasploit的命令行：选择使用samba_tran2open的exploit，设定要执行的代码linux_ia32_reverse,即获得一个反向的Shell，并设定相关的选项：必须要设的选项有RHOST：远程主机即Honeypot的IPLHOST：本地主机即攻击机的IPTARGET：攻击目标操作系统，这里是linux输入check命令，探测目标主机samba服务器版本：当然这个探测所发出的数据包也不会被我们的Honeywall所放过，发出了Email警告：抓到的数据包，可以看到发包的主机的操作系统

21、是linux：当前的进程树：输入命令exploit，发起攻击，最后一行可以看出来我们已经与主机建立了连接，取得了一个root权限的Shell命令行：下面是抓到的数据包，注意上面经过了五次尝试才得到正确的返回地址，下面有相应的五次数据包连接与之相对应。右边的红字显示连接是准备访问共享文件和连接企图进行transopen缓冲区溢出的尝试。这个时候的进程树，下边的五个方框显示了五次尝试，最右边的方框中的进程是sh smbd说明从这里启动了一个Shell进程。我们再看一下对攻击数据包的解码结果，可以看到有很长一段数据是重复的“A”或“0”，这是典型的缓冲区溢出的包的特征，可以判断这是一次缓冲区溢出的攻

22、击：攻击结果是得到了一个反向的Shell，在这里我输入了ls和cd命令仅作为测试，可以看到有相应的结果输出：最后是总的进程树，也可以称得上是这次的攻击场景图：总的来说，Honeywall对这次攻击的数据捕获，报警和数据分析还是很成功的，结果的可视化显示也给我们对攻击动作和场景的分析提供了更直观，方便的途径。六、参考资料1)、 HYPERLINK /papers/honeynet/index.html TTKnow Your Enemy: HoneynetsTT；2)、TTKnow Your Enemy: GenII HoneynetsTT；3)、 HYPERLINK /papers/virtu

23、al/index.html TTKnow Your Enemy: Defining Virtual HoneynetsTT；4)、 HYPERLINK .pk/honeywall/index.htm TTVirtual Honeynet: Deploying Honeywall using VMwareTT；5)、 HYPERLINK /support/ws45/doc/ws40_network.html l 1032738 TTVmware Workstation DocumentTT6）、TT基于Vmware workstation的虚拟Honeynet7）、Know Your Enemy

24、: Sebek附录资料：不需要的可以自行删除 VMware VTSP考试题库资料(vSphere 虚拟机管理)Q:配置 Guided Consolidation 时，默认凭据有何作用？ A: HTMLCONTROL Forms.HTML:Option.1 用于分析计算机的硬件和软件配置文件以便进行虚拟化。 HTMLCONTROL Forms.HTML:Option.1 用于赋予域中计算机的管理访问权限 HTMLCONTROL Forms.HTML:Option.1 用于识别网络中的物理计算机。 HTMLCONTROL Forms.HTML:Option.1 用于登录整合数据库。Q:虚拟机的最小

25、内存大小为多少？ A: HTMLCONTROL Forms.HTML:Option.1 2 MB HTMLCONTROL Forms.HTML:Option.1 4 MB HTMLCONTROL Forms.HTML:Option.1 6 MB HTMLCONTROL Forms.HTML:Option.1 取决于主机。Q:您使用 Remove from Inventory（从清单移除） 命令从清单中移除了虚拟机。下列哪种方法可将虚拟机返回清单？ A: HTMLCONTROL Forms.HTML:Option.1 断开主机服务器的连接，然后重新连接。 HTMLCONTROL Forms.HT

26、ML:Option.1 右键单击主机服务器，并选择 Return VM to Inventory（将虚拟机返回清单） 中。然后完成向导。 HTMLCONTROL Forms.HTML:Option.1 使用 New Virtual Machine（新建虚拟机） 向导创建新的虚拟机，但并不创建新的磁盘，而是选择虚拟机的现有磁盘。 HTMLCONTROL Forms.HTML:Option.1 无法将虚拟机返回清单。Q:在 Guided Consolidation 的分析阶段中，可信度的等级表示什么？ A: HTMLCONTROL Forms.HTML:Option.1 等级的可靠程度。 HTML

27、CONTROL Forms.HTML:Option.1 虚拟化对性能的影响程度。 HTMLCONTROL Forms.HTML:Option.1 候选物理服务器进行虚拟化的适合程度。 HTMLCONTROL Forms.HTML:Option.1 目标服务器托管转换后的虚拟机的适合程度。Q:下列关于虚拟机快照的说法中，哪一项是正确的？ A: HTMLCONTROL Forms.HTML:Option.1 快照作为单个文件记录，存储在虚拟机的配置目录中。 HTMLCONTROL Forms.HTML:Option.1 虚拟机一次只能拍摄一张快照。 HTMLCONTROL Forms.HTML:O

28、ption.1 在拍摄快照过程中可以选择是否捕获虚拟机的内存状态。 HTMLCONTROL Forms.HTML:Option.1 只能从命令行管理快照。Q:Clone（克隆） 向导可以执行下列哪些任务？ A: HTMLCONTROL Forms.HTML:Option.1 自定义客户操作系统 HTMLCONTROL Forms.HTML:Option.1 安装客户操作系统补丁程序 HTMLCONTROL Forms.HTML:Option.1 创建初始快照 HTMLCONTROL Forms.HTML:Option.1 安装 VMware ToolsQ:完成句子：要使冷迁移正常运行，虚拟机必

29、须_。 A: HTMLCONTROL Forms.HTML:Option.1 处于关闭状态。 HTMLCONTROL Forms.HTML:Option.1 满足 VMotion 的所有要求。 HTMLCONTROL Forms.HTML:Option.1 可以在具有相似的 CPU 系列和步进功能的系统之间移动。 HTMLCONTROL Forms.HTML:Option.1 仍位于冷迁移之前的同一个数据存储中。Q:您正在创建新的虚拟机，并且希望将虚拟机数据直接存储在 SAN LUN 中。那么您应选择哪个虚拟磁盘选项？ A: HTMLCONTROL Forms.HTML:Option.1 创建

30、新的虚拟磁盘。 HTMLCONTROL Forms.HTML:Option.1 不创建磁盘。 HTMLCONTROL Forms.HTML:Option.1 裸机映射。 HTMLCONTROL Forms.HTML:Option.1 使用现有虚拟磁盘。Q:如何在 vCenter Server 中为 Windows 启用客户操作系统自定义？ A: HTMLCONTROL Forms.HTML:Option.1 选中 Configuration（配置） 选项卡中的 Enable Guest OS Customization（启用客户操作系统自定义）。 HTMLCONTROL Forms.HTML:

31、Option.1 将 sysprep 可执行文件复制到 ESX 主机的相应文件夹中。 HTMLCONTROL Forms.HTML:Option.1 将 sysprep 可执行文件复制到 vCenter Server 的相应文件夹中。 HTMLCONTROL Forms.HTML:Option.1 注册为 Microsoft 模板。Q:准备新虚拟机的正确操作顺序是？ A: HTMLCONTROL Forms.HTML:Option.1 创建虚拟机、安装操作系统、加载 VMware Tools、安装补丁程序 HTMLCONTROL Forms.HTML:Option.1 创建虚拟机、安装补丁程序

32、、安装操作系统、加载 VMware Tools HTMLCONTROL Forms.HTML:Option.1 创建虚拟机、加载 VMware Tools、安装操作系统、安装补丁程序 HTMLCONTROL Forms.HTML:Option.1 安装操作系统、创建虚拟机、安装补丁程序、加载 VMware ToolsQ:下列哪一个电源状况命令仅在 VMware Tools 安装后才可用？ A: HTMLCONTROL Forms.HTML:Option.1 开机 HTMLCONTROL Forms.HTML:Option.1 重置 HTMLCONTROL Forms.HTML:Option.1

33、 重新启动客户机 HTMLCONTROL Forms.HTML:Option.1 挂起Q:下列关于 ESX 主机提供的虚拟机平台的说法中，哪一项是正确的？ A: HTMLCONTROL Forms.HTML:Option.1 仅独立于主机系统。 HTMLCONTROL Forms.HTML:Option.1 其独立性基于客户操作系统。 HTMLCONTROL Forms.HTML:Option.1 仅独立于物理硬件。 HTMLCONTROL Forms.HTML:Option.1 独立于主机系统和物理硬件。Q:模板与虚拟机的区别是什么？ A: HTMLCONTROL Forms.HTML:Op

34、tion.1 模板的虚拟磁盘文件始终以稀疏格式存储。 HTMLCONTROL Forms.HTML:Option.1 模板无法启动。 HTMLCONTROL Forms.HTML:Option.1 虚拟机和模板必须存储在不同的数据存储中。 HTMLCONTROL Forms.HTML:Option.1 虚拟机可以转换为模板，而模板不可以转换为虚拟机。Q:下列哪一项是配置 VMDirectPath I/O 的正确顺序？ A: HTMLCONTROL Forms.HTML:Option.1 将设备分配给虚拟机，然后在 Configuration（配置） 选项卡的 Advanced Settings

35、（高级设置） 面板上，保留设备以供独占访问。 HTMLCONTROL Forms.HTML:Option.1 在 Create Virtual Machine（创建虚拟机） 向导中选择 VMDirectPath I/O 选项，然后在 Configuration（配置） 选项卡的 Advanced Settings（高级设置） 面板上，保留设备以供独占访问。 HTMLCONTROL Forms.HTML:Option.1 在 Configuration（配置） 选项卡的 Advanced Settings（高级设置） 面板上，保留设备以供独占访问，然后将设备分配给虚拟机。 HTMLCONTROL

36、 Forms.HTML:Option.1 在 Configuration（配置） 选项卡的 Advanced Settings（高级设置） 面板上，保留设备以供独占访问，然后在 Create Virtual Machine（创建虚拟机） 向导中选择 VMDirectPath I/O 选项。Q:在通过 VMotion 迁移的过程中，用户在哪个时间点开始访问目标主机上的虚拟机？ A: HTMLCONTROL Forms.HTML:Option.1 目标主机通知源主机迁移已完成之后。 HTMLCONTROL Forms.HTML:Option.1 VMotion 将内存位图中的所有内存从源主机复制到

37、目标主机之后。 HTMLCONTROL Forms.HTML:Option.1 VMotion 将虚拟机的大部分内存从源主机复制到目标主机之后。 HTMLCONTROL Forms.HTML:Option.1 VMotion 使源主机上的虚拟机处于静默状态之后。窗体顶端Missed Questions:Question: 下列哪些项目将与 VMware Tools 一起安装？（请选择三个正确答案。）Incorrect response(s):设备驱动程序客户操作系统自定义文件VMware Tools 用户进程Note: This response is either incorrect, or

38、 additional responses may be required to receive a 100% score for this question. Question: 下列关于模板的说法中，哪些是正确的？（请选择两个正确答案。）模板用于创建和部署新的虚拟机。Incorrect response(s):模板必须以压缩磁盘格式存储。Note: This response is either incorrect, or additional responses may be required to receive a 100% score for this question. Ques

39、tion: 下列有关虚拟机快照的说法中，哪些是正确的？（请选择两个正确答案。）如果您恢复或转到早期的快照，则早期的快照将成为虚拟机的父快照。Incorrect response(s):如果您恢复或转到早期的快照，则早期的快照将成为虚拟机的父快照。您可以在虚拟机处于开启或关闭状态时拍摄快照，但不能 在其处于挂起状态时拍摄快照。Note: This response is either incorrect, or additional responses may be required to receive a 100% score for this question. Question: 下列哪

40、一项是配置 VMDirectPath I/O 的正确顺序？Incorrect response(s):在 Create Virtual Machine（创建虚拟机） 向导中选择 VMDirectPath I/O 选项，然后在 Configuration（配置） 选项卡的 Advanced Settings（高级设置） 面板上，保留设备以供独占访问。Question: 下列哪几项可以满足 VMotion 的要求？（请选择两个正确答案。）Incorrect response(s):统一标记的虚拟交换机端口组。虚拟机存储在本地数据存储上。Note: This response is either i

41、ncorrect, or additional responses may be required to receive a 100% score for this question. Question: 下列关于 Storage VMotion 的说法中，哪些是正确的？（请选择两个正确答案。）Incorrect response(s):您可以从 vSphere Client 或从远程命令行界面启动 Storage VMotion。您可为虚拟机配置文件和每个虚拟磁盘选择不同的位置。Note: This response is either incorrect, or additional re

42、sponses may be required to receive a 100% score for this question. Question: 下列哪些是 VMware Update Manager 中的有效升级类型？（请选择两个正确答案。）Incorrect response(s):客户操作系统升级VMware vCenter Server 升级Note: This response is either incorrect, or additional responses may be required to receive a 100% score for this question. Question: 下列关于冷迁移的说法中，哪些是正确的？（请选择两个正确答案。）Incorrect response(s):需要 VMotion 许可。需要共享存储。Note: This