在笔记本上构建一个虚拟HONEYNET

主系统使用公网IP，客户系统只能使用私有IP。但是如果我们另外安装一个系统可以通过桥接的方式连接Internet（这个系统就成为一个桥接器），则我们可以设置置这些客户系统的IP 为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的自包含的虚拟Honeynet 的。（摘自《基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析》）

在看了北大的密网的很多相关的论文和翻译的文章后，我决定在自己的笔记本上面通过Vmware 来构建一个Honeynet。

 

准备工作：

笔记本：

Dell D620 T5600/2G RAM/ 80G/GF7300

所需软件：

Vmware workstation

Roo

Sebek

Windows Server 2003

 

平台：

Windows XP SP2

 

 

步骤：

1.       首先安装VMware workstation 在主机上，然后按照默认的设置运行一遍vmware-config.pl。确认使用bridge 和 Hostonly的vmnet的编号。

2.       启动VMWARE，创建一个新的VM。在创建过程中需要注意的几点是：硬盘的格式需要选择为IDE的，否则无法识别。然后就是一定要创建3块网卡，这样才能实现Walleye的WEB的接口。我们设定eth0为bridge（桥接）方式，然后eth1为hostonly的方式，设定eth2为bridge的方式。

3.       这个时候设定cdrom为指定的ISO文件，我们把roo的镜像文件挂载到VM上，然后启动VM。这个时候只需要安一下回车就可以了。Roo的安装是完全自动话的。等过了十几分钟后就会出现一个让你登录的界面。

4.       Honeywall默认的用户名是roo，密码为honey。登录后使用$su – 切换到root用户。当然，别忘了把你的密码改为一个比较复杂的密码。第一次登录honeywall会出先配置模式。这里面的配置就按照《基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析》上面设定的进行配置。我们设定Honeypot的IP地址为192.168.0.55 192.168.0.56（这个IP还可以自己根据自己的Honeypot的数量来进行更多的设置，由于是笔记本我就只设定2个）。但是需要说明的是由于笔记本上面只有一块网卡，所以我们将管理的IP段也设定为192.168.0.X。对于3块网卡我的IP的设定为eth0 192.168.0.51，eth1的IP为192.168.0.50，eth2的IP为192.168.0.52.这个时候记着要把eth1的IP和MAC地址记下来，以备后面使用。

5.       下面创建一个新的VM作为Honeypot，我选择的是Windows Server 2003 R2.这个只要设定一个网卡就可以了。方法就不再重复了。我们只要设定其IP为上面我们在Honeywall里面设定的几个IP之一就可以了。我的做法是把他设定为192.168.0.55.这个时候安装Sebek，我下载最新的Sebek后安装后，首先运行安装，在运行configure。这里面要设定数据包的地址为192.168.0.50,然后把刚才记下来的MAC地址。这个时候把那个随机产生的Magic Value记下来，因为同一个Honeywall要求相同的Magic Value。重启系统这个时候会出现蓝屏（至少我这里是出现了，不知道是不是个别现象），再重启按F8，选择上一次可用的配置启动进入系统后Sebek还是可以起作用的。我为他启动了IIS中的WEB服务和FTP服务。

6.       下面主要默认的Honeywall是没有支持Walleye的，所以应该使用root用户，输入menu来进行配置。然后依次Honeywall ConfigurationàRemote Management àWalleye.这个时候保存退出。在hostos上用浏览器打开

Https://192.168.0.52

因为是SSL加密的，所以这个时候如果不出以外的话就会出现让你确认接受的协议。点击接受后就会出现登录界面。默认的用户名为roo，密码为honey。然后会要求你重新设定密码。而且新密码要求等级很高，必须包含字母的大小写和数字以及特殊字符。设定好后就基本完成了在笔记本上的Honeynet的配置。至于Walleye的使用和介绍，请参看《Roo技术报告》。

 

 

• OK，这样就完成了，下面要做的就是进行测试了。、

 

主要参看文献：

 

基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析

Learning with VMware

roo_cdrom_user_manual

Roo技术报告

 

这些文献都可以从http://www.icst.pku.edu.cn/honeynetweb/honeynetcn/ 上获取，如果你需要还可以加入他们的邮件列表（开始是讨论技术的，现在不知道为什么总有人发广告，很不好）。当然官方的http://www.honeynet.org 也是不可不去的地方。