背景:
对于一个未知母体木马的研究,为了防止其感染内网中的其他主机,且要保证其联网的要求下,搭建观测环境。
目标:
- 搭建两台虚拟机,一台为centos7,作为木马的载体。一台为kali,连通centos7,对其进行观测。
- 两台虚拟机分别有两块网卡,一块保证联网,一块保证与另一台虚拟机相互通信。
- 联网网卡使用iptables进行对cenos7木马载体的流量控制,防止其逃逸到内网中对其他主机造成危害。
具体实施:
Centos机的网卡设置:
使用wmware自带设置网卡的功能,手动添加两块网卡,一块链接为net模式,与主机共享ip保证联网,一块设置为连接到vm18虚拟网段,保证与kali机的通讯。(vm18为专门使两台虚拟机通讯的虚拟网络,只有这两台虚拟机连在该网络)
2.
在centos7中使用iptables禁止了对于局域网的一些局域网的流量输出,防止木马流入内网。
[root@localhost ~]# iptables -L //显示限制的网段
Chain OUTPUT (policy ACCEPT)(只显示限制部分)
target prot opt source destination
ACCEPT all -- anywhere 192.168.110.1 //vm net模式下的网关,保证联通网络
DROP all -- anywhere 10.0.0.0/8 //局域网地址禁止
DROP all -- anywhere 192.168.1.0/24 //局域网地址禁止
DROP all -- anywhere 172.16.0.0/12 //局域网地址禁止
结果展示:
1.
联网展示ping baidu.com:显示可以ping通,可以上网
2.
对于centos7内网隔离的测试:
(以下为方便显示直接复制的终端内容)
对内网中windows系统的ip为192.168.1.104的ping测试:
[root@localhost ~]# ping 192.168.1.104 //ping命令
PING 192.168.1.104 (192.168.1.104) 56(84) bytes of data.
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
对10.0.0.1的ping测试:
[root@localhost ~]# ping 10.10.10.1//ping命令
PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data.
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
对于172.16.0.1的ping测试:
[root@localhost ~]# ping 172.16.0.1//ping命令
PING 172.16.0.1 (172.16.0.1) 56(84) bytes of data.
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
内网隔离完毕。
3.
两台虚拟机之间的ping通测试:
我的kali机在vm18的网卡上的IP地址设置的为200.200.200.1/24(vm18为专门使两台虚拟机通讯的虚拟网络,只有这两台虚拟机连在该网络)
Centos7在vm18网卡上的IP地址设置的为200.200.200.2/24
使用kali ping 200.200.200.2命令:可以ping通
使用centos7ping 200.200.200.1:
互相ping通,问题解决。
