安装完Honeywall后开始进行使用实验。
1. 主机系统(物理机)ping 蜜罐机没问题,反之则不行,重启蜜罐的网卡后解决。
2. 蜜罐机ping外网无法ping通,也就是说,honeypots都只是以host-only方式链接到主机,而没有按文档所写的借助网桥链接到了外网。如果是这样,蜜罐存在的意义何在?
蜜网的部署图如下:
宿主系统只有一个网卡,但是绑定了上外网的地址172.**.**.**,和另外两个地址:192.168.0.2(攻击主机),192.168.1.2(控制机)。
Honeywall虚拟系统有三块虚拟网卡eth0,eth1,eth2。
按下图eth0和eth2应该分别桥接到宿主机的192.168.0.2,和192.168.1.2,但是文档里并没有让设置vmware的虚拟网卡配置,估计是因为这这个地址都在一个网卡上,不需
要专门指定,因为只有一块网卡。eth1以host-only方式链接。
蜜罐都以host-only方式链接。(这样可以连上外网吗???)
甚至在防火墙honeywall上都不能ping通外网,这正常吗?
3. 在宿主系统上访问https://192.168.1.3/, 进入walleye控制台。这里面的看到的流量也只有蜜罐之间的通信,说明整个蜜罐都木有连上外网?那还需要怎么设置???
4. 在walleye查看进程树Process_Tree时,进程树的图片无法显示,google到解决办法如下:
首先在honeywall中找到Process_tree.pm文件,将该文件第224行
print DOT " size=\"1024,768\";\n";
改为print DOT " size=\"20,20\";\n";
vi强制保存退出 :x!。
5. 测试sebek
在honeywall中输入命令
sbk_extract -i eth1 -p 1101 | sbk_ks_log.pl
监视eth1捕获到的sebek数据包,并输出到屏幕上。
然后在蜜罐系统中打开cmd.exe,这时就会看到honeywall上的sebek记录,说明sebek工作正常。但是我的winxp蜜罐看不到sebek记录,原因目前未知。