使用VirualBox搭建ubuntu16.04+Windows流量分析系统
在分析恶意软件时,通常要捕获一些流量信息,但是如果样本运行后可能会导致虚拟机系统奔溃,因此在victim中捕获流量不是一个很好的选择,因此这里搭建一个网络流量捕获系统,在运行时捕获恶意样本的网络请求流量包。具体步骤如下
- 安装VirtualBox
- 安装ubuntu16.04
- 安装Windows xp sp1 32
- 网络设置
系统安装
首先到Virtuaboxhttps://www.virtualbox.org/wiki/Downloads,安装即可
接着到ubuntu http://releases.ubuntu.com/16.04/ 下载ubuntu16.04系统进行安装
最后到https://next.itellyou.cn/Identity/Account/Login下载并安装windows xp sp1 32 系统。
网络设置
设置网卡阶段要把虚拟机关闭
在准备完成上述系统后,配置网络部分如下
设置ubuntu的网卡
打开ubuntu虚拟机的网络设置,如下
网卡1默认是开启的,保持不变,这个网口用来和外网通信使用。
选择网卡2作为内部网络,这样可以避免网络请求直接走主机系统,这里记下网卡2的MAC地址。
设置windows的网络
同样,设置windows 的网卡1(默认使用的网卡)为内部网卡,如下
配置ubuntu和window的网络
打开ubuntu的网络配置,如下
点击Edit Connections -->Add
点击Create
图中的Device填写网卡2的MAC地址,接着设置ipv4,网络部分写一个静态地址,如下配置
保存下来,接着查看网卡信息,会看到我们配置的这个网络(由于我已经配置了一个,这里只是演示如何配置),执行ifconfig
接着配置一下windows的网络,如下
双击属性
进行如下配置
其他的都照填写,最后保存。
设置ubuntu的网络转发
因为我们设置了windows的主机网络会流过ubuntu系统,但是网卡2是静态的网络,不能对外访问,因此这里需要将网络流量转向网卡1的地址,使用如下脚本
vim network.sh
##复制如下内容
sudo sysctl -w net.ipv4.ip_forward=1
sudo iptables -P FORWARD ACCEPT
sudo iptables -t nat -A POSTROUTING -o ens03(对外链接的网口) -j MASQUERADE
接着执行这个脚本
sudo chmod u+x netword.sh
sudo ./netword.sh
每次执行流量分析前都要执行一下这个脚本,关机后就不生效了
最后使用tcpdump查看一下网络链接情况
在ubuntu内执行
sudo apt-get install tcpdump
sudo tcpdump -i ens03 -v
在windows的cmd下
执行
ping www.baidu.com
效果
在ubuntu内可以看到如下日志
完。
参考
转载:https://blog.csdn.net/LoopherBear/article/details/105821477