1.實踐內容

總結一下本週學習內容並介紹下實踐內容，不要複製貼上

2.實踐過程

一、防火牆配置
任務要求:配置Linux作業系統平臺上的iptables,或者Windows作業系統平臺上的個人防火牆，完成如下功能，並進行測試:
(1)過濾ICMP資料包，使得主機不接收Ping包;

用winxp攻擊機ping kali 攻擊機。

在kali攻擊機的終端中輸入 iptables -A INPUT -p ICMP -j DROP 命令，通過iptables命令新增對所有ICMP包的過濾原則。

重新在winXP攻擊機中ping kali機，發現無法ping通，即為過濾ICMP資料包成功。

(2)只允許特定IP地址(如區域網中的Linux攻擊機192.168.200.3)，訪問主機的某一網路服務(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻擊機192. 168.200.4)無法訪問

先檢測kali攻擊機和seed攻擊機是否可以telnet通MetaSploitable靶機，如圖所示，都可以連通。


使用指令iptables -P INPUT DROP，使攻擊機無法telnet通MetaSploitable靶機，。

兩個靶機再次telnetMetaSploitable靶機，發現兩臺攻擊機都無法telnet通靶機，都顯示trying。


輸入指令iptables -A INPUT -s 192.168.111.129 -p tcp -j ACCEPT，僅允許kali攻擊機的請求。

輸入指令後再用kali攻擊機對MetaSploitable靶機進行telnet後，發現可以連通，但是seed攻擊機仍不可以。


最後通過iptables -P INPUT ACCEPT指令將之前的指令清楚，重新允許其他機器傳送請求。

二、動手實踐：Snort
使用Snort對給定pcap檔案（第4章中的解碼網路掃描任一個pcap檔案，之前的實踐已經提供了，請在雲班課中下載）進行入侵檢測，並對檢測出的攻擊進行說明。在BT4 Linux攻擊機或Windows Attacker攻擊機上使用Snort，對給定的pcap檔案進行入侵檢測，獲得報警日誌。
Snort執行命令提示如下：
①從離線的pcap檔案讀取網路日誌資料來源
②在snort.conf中配置明文輸出報警日誌檔案
③指定報警日誌log目錄（或預設log目錄=/var/log/snort）
在kali攻擊機中使用指令snort -r /home/kali/Desktop/listen.pcap -c /etc/snort/snort.conf -K ascii ，即可對pcap檔案中的網路日誌資料來源進行讀取。

在返回的分析中可以看到，該日誌檔案共包括135580個數據報，主要為TCP資料報，有135512個。

使用vim /var/log/snort/snort.alert.fast指令找到var/log/snort目錄下的日誌檔案，並用vim將其開啟。

在檔案中可以看到攻擊方式為namp攻擊，且攻擊主機ip為172.31.4.178，靶機ip為172.31.4.188。

三、分析配置規則
分析虛擬網路攻防環境中蜜網閘道器的防火牆和IDS/IPS配置規則，說明蜜網閘道器是如何利用防火牆和入侵檢測技術完成其攻擊資料捕獲和控制需求的。

3.學習中遇到的問題及解決

• 問題1：在輸入iptables -P INPUT DROP等指令時，顯示找不到檔案。
• 問題1解決方案：input和drop等關鍵字未大寫，改正後即可執行。
• 問題2：在WinXP攻擊機中的snort缺少部分檔案
• 問題2解決方案：使用kali攻擊機中的snort即可解決。
• 問題3：在var/log/snort目錄下的alert檔案是空白的，沒有報警日誌。
• 問題3解決方案：檢視snort.alert.fast後發現報警日誌在此檔案內，檢視此檔案即可。

4.實踐總結

xxx xxx