安裝完Honeywall後開始進行使用實驗。
1. 主機系統(物理機)ping 蜜罐機沒問題,反之則不行,重啓蜜罐的網卡後解決。
2. 蜜罐機ping外網無法ping通,也就是說,honeypots都只是以host-only方式鏈接到主機,而沒有按文檔所寫的藉助網橋鏈接到了外網。如果是這樣,蜜罐存在的意義何在?
蜜網的部署圖如下:
宿主系統只有一個網卡,但是綁定了上外網的地址172.**.**.**,和另外兩個地址:192.168.0.2(攻擊主機),192.168.1.2(控制機)。
Honeywall虛擬系統有三塊虛擬網卡eth0,eth1,eth2。
按下圖eth0和eth2應該分別橋接到宿主機的192.168.0.2,和192.168.1.2,但是文檔裏並沒有讓設置vmware的虛擬網卡配置,估計是因爲這這個地址都在一個網卡上,不需
要專門指定,因爲只有一塊網卡。eth1以host-only方式鏈接。
蜜罐都以host-only方式鏈接。(這樣可以連上外網嗎???)
甚至在防火牆honeywall上都不能ping通外網,這正常嗎?
3. 在宿主系統上訪問https://192.168.1.3/, 進入walleye控制檯。這裏面的看到的流量也只有蜜罐之間的通信,說明整個蜜罐都木有連上外網?那還需要怎麼設置???
4. 在walleye查看進程樹Process_Tree時,進程樹的圖片無法顯示,google到解決辦法如下:
首先在honeywall中找到Process_tree.pm文件,將該文件第224行
print DOT " size=\"1024,768\";\n";
改爲print DOT " size=\"20,20\";\n";
vi強制保存退出 :x!。
5. 測試sebek
在honeywall中輸入命令
sbk_extract -i eth1 -p 1101 | sbk_ks_log.pl
監視eth1捕獲到的sebek數據包,並輸出到屏幕上。
然後在蜜罐系統中打開cmd.exe,這時就會看到honeywall上的sebek記錄,說明sebek工作正常。但是我的winxp蜜罐看不到sebek記錄,原因目前未知。