本次實驗所使用到的主要軟體包括:虛擬機器(vmware/virtualbox), 流量分析軟體(wireshark, zeek或科來網路資料報分析軟體),網路掃瞄工具nmap,瀏覽器(chrome或ie)。
每個題目給出主要操作步驟、截圖和分析。
nat模式,虛擬機器設定網路介面卡選擇nat
虛擬機器自動分配ip位址和閘道器,不需做過多操作,且能連線網際網路
橋接:橋接網路是指本地物理網絡卡和虛擬網**過vmnet0虛擬交換機進行橋接,物理網絡卡和虛網絡卡在拓撲圖上處於同等地位,主機和虛擬機器在同一網段內,虛擬交換機相當於一台現實網路中的交換機,物理網絡卡和虛擬網絡卡的子網掩碼、閘道器、dns等引數相同。在橋接模式下,虛擬機器和主機和網際網路可以互相連通。
nat:
在nat網路中,使用vmnet8虛擬網絡卡,主機和是哪個的虛擬網絡卡被直接連線到vmnet8虛擬交換機上與虛擬網絡卡進行通訊,vmnet8虛擬網絡卡的作用僅限於和vmnet8網段進行通訊,它不給vmnet8網段提供路由功能,所以虛擬機器虛擬乙個nat伺服器,使虛擬網絡卡可以連線到internet。在這種情況下,我們就可以使用埠對映功能,讓訪問主機80埠的請求對映到虛擬機器的80埠上。在nat位址轉換模式下,宿主計算機相當於一台開啟了dhcp功能的路由器,而虛擬機器則是內網中的一台真實主機,通過路由器(宿主計算機)dhcp動態獲得網路引數。因此在nat模式下,虛擬機器可以訪問外部網路,反之則不行,因為虛擬機器屬於內網,虛擬機器可與主機和網際網路連通
僅主機(host-only):
在host-only模式下,虛擬網路是乙個全封閉的網路,它唯一能夠訪問的就是主機。其實host-only網路和nat網路很相似,不同的地方就是 host-only網路沒有nat服務,相當於虛擬機器通過雙絞線和宿主計算機直連,而宿主計算機不提供任何路由服務,所以虛擬網路不能連線到網際網路,虛擬機器只能與主機進行相互通訊,但是可以設定主機的網路共享來實現虛擬機器連線網際網路。
在linux虛擬機器安裝zeek,在命令列進行資料報實時抓取。
echo 'deb /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fssl | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek-lts
whereis zeek可檢視zeek安裝位置
5.使用cd /opt/zeek/etc/命令進入該目錄下,使用ls命令檢視目錄中檔案
6.使用vi node.cfg命令編輯配置檔案,設定檢測裝置的正確介面inte***ce,設定要監視的正確網絡卡,我的網絡卡是ens33,完成之後儲存並退出
7.使用vi networks.cfg命令編輯配置檔案,注釋掉預設設定,然後新增監測環境的本地網路,新增完成後儲存退出
本地網路ip位址
編輯配置檔案
8.現在使用zeekctl啟動zeek,但是看到還啟動不了
原因是安裝zeek的時候,並未將bin目錄放到環境中,因此還需要設定環境變數,將/opt/zeek/bin路徑放到環境中
9.新增環境變數
9.1 使用export path=$path:/opt/zeek/bin命令新增環境變數:在~/.bashrc檔案中新增路徑,如果是普通使用者下則僅對當前使用者,如果是在root使用者下則是對所有使用者
9.2source ~/.bashrc使其設定生效
9.3echo $path列印環境變數中的路徑,如果出現zeek位址則新增成功
說明:如果不是root使用者,zeek資料夾的操作許可權需要交給使用者,使用sudo chmod -r 777 /opt/zeek命令修改zeek資料夾的使用者許可權
10.現在使用zeekctl命令可以開啟zeekcontrol終端了,由於是第一次使用,還需要使用命令install對zeekcontrol配置進行初始化安裝,然後用start命令啟動zeek例項
說明:zeek啟動之後會一直進行下去,可以使用stop命令來停止執行
2)分析zeek產生的log日誌,說明有哪些log以及conn.log每個欄位的含義。
1.使用命令cd /opt/zeek/logs/current進入logs資料夾下,用ls命令檢視有哪些log日誌檔案
可以看到有http,dhcp,ntp,srderr,conn,stdout,dns等log檔案,分別記錄了各種資料報流量的內容
注:當host是本機,目標主機是虛擬機器,也可讓虛擬機器掃瞄host。不能使用虛擬機器掃瞄非宿主機機器。
網路流量分析
coding utf 8 import pyshark from scapy.all import import matplotlib.pyplot as plt 讀取pcap檔案 packets pyshark.filecapture net package.pcap def protocal p...
網路流量分析工具Windump
執行平台 windows unix 軟體類別 免費軟體 windump是windows環境下一款經典的網路協議分析軟體,其unix版本名稱為tcpdump。它可以捕捉網路上兩台電腦之間所有的資料報,供網路管理員 入侵分析員做進一步流量分析和入侵檢測。在這種監視狀態下,任何兩台電腦之間都沒有秘密可言,...
網路流量分析器
隨著網路變得越來越快和複雜,新的效能問題出現了。傳統的網路監控會花費太多的時間,網路分析師正在尋找這樣一種工具,不僅能幫助他們盡快找到問題的根源,而且能優化他們的工作流程。那麼,我們如何才能從廣闊的網路中,在任何地方,在幾秒鐘內,精確地看到流量,深入挖掘並找到潛在的弱點 伺服器擁塞 埠使用情況等等?...