學號 20212803 2021-2022-2 《網路攻防實踐》實踐五報告
學號 20212803 2021-2022-2 《網路攻防實踐》實踐五報告
1.實踐內容
本週實驗分為三部分,
一、防火牆配置
(1)過濾ICMP資料包
(2)只允許特定IP地址訪問特定服務,而其它ip無法訪問
二、動手實踐:Snort
使用Snort對給定pcap檔案進行入侵檢測分析,並說明。
三、分析配置規則
分析虛擬網路攻防環境中蜜網閘道器的防火牆和IDS/IPS配置規則,說明蜜網閘道器是如何利用防火牆和入侵檢測技術完成其攻擊資料捕獲和控制需求的。
2.實踐過程
配置Linux作業系統平臺上的iptables,或者Windows作業系統平臺上的個人防火牆,完成如下功能,並進行測試:
(1)過濾ICMP資料包,使得主機不接收Ping包;
(2)只允許特定IP地址(如區域網中的Linux攻擊機192.168.200.3),訪問主機的某一網路服務(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻擊機192. 168.200.4)無法訪問
配置linux防火牆
以SEED Ubuntu作為伺服器,利用Kali訪問SEED Ubuntu,Kali作為信任主機,winxpattack作為不可信任主機。
kali 192.168.200.5 seedubuntu 192.168.200.2 winxpattack 192.168.200.4
首先在SEED Ubuntu上通過iptables -L檢視規則
命令 iptables -A INPUT -p icmp -j DROP指令使得主機不接受icmp的資料包。然後執行命令 iptables -L檢視規則。結果如下所示。
使用kali ping seedubuntu。結果如下圖所示。
無法ping通。
執行iptables -F指令刪除自定義規則。
只允許特定IP地址訪問主機的某一網路服務,而其他IP地址無法訪問,我們選擇的服務是tcp。
分別使用xp系統和kali系統使用telnet遠端連線seedlinux,結果如下所示成功。
使用命令 iptables -P INPUT DROP指令拒絕一切的資料包流入,此時應該兩臺電腦都無法進行訪問。
使用命令 iptables -A INPUT -p tcp -s 192.168.200.5 -j ACCEPT 開啟kali的tcp服務。使用iptables -L檢視。
使用xp telnet seedubuntu 結果如下圖所示。
無法連線。
而使用kali telnet seedubuntu結果如下圖所示。
連線成功。
執行iptables -F指令刪除自定義規則。
配置windows防火牆
xp系統電腦ip地址為196.168.200.4
1.icmp協議包不能到達主機。
開啟windows防火牆,並啟用
點選高階設定,並還原預設設定,這樣呢icmp就不能被訪問了
訪問結果如下圖所示
2.只允許特定IP地址訪問主機的某一網路服務
首先通過控制面板開啟本地安全策略。
接著建立ip安全策略,預設選擇,點選完成。
為新新增IP安全規則新增 的安全規則屬性,點選新增。然後預設選擇。
新增新的篩選器:在ip篩選列表選擇——新增——輸入篩選名稱——新增
配置IP篩選器允許的動作:在點確定後——選擇配置的“阻止所有IP遠端訪問”,下一步——新增——選擇“阻止”——最後確定
新增允許訪問的IP篩選器列表
我們選擇可以訪問linux的為kali IP 192.168.200.5
回到“限制固定IP遠端訪問”視窗,會出現如下視窗,此時需要配置一條新的IP安全規則,即允許165.154訪問的安全規則,並設定器篩選器操作
應用配置的IP安全規則,指派此安全規則:右鍵“限制固定IP遠端訪問”——選擇“指派”
接下來測試telnet服務是否成功
首先開啟telnet服務,選擇控制面板,選擇管理工具,選擇服務,開啟telnet服務
對於kali,tcp服務成功
對於seedubuntu連線不成功
實驗成功
實踐snort
使用Snort對給定pcap檔案進行入侵檢測,並對檢測出的攻擊進行說明。在BT4 Linux攻擊機或Windows Attacker攻擊機上使用Snort,對給定的pcap檔案進行入侵檢測,獲得報警日誌。
輸入snort -r listen.pcap -c /etc/snort/snort.conf -K ascii指令對listen.pcap進行入侵檢測
-r 從pcap格式的檔案中讀取資料包。
-c 使用配置檔案,這會使得snort進入IDS模式,並從中讀取執行的配置資訊。
-K ascii主要是為了指定輸出log檔案的編碼為ASCII(預設為binary)。
可分析,此包大部分資料為tcp包。
輸入cd /var/log/snort/,然後再輸入vim alert檢視此alert檔案,這個檔案是輸出的日誌檔案,發現這個攻擊是由nmap發起的
分析配置規則
分析虛擬網路攻防環境中蜜網閘道器的防火牆和IDS/IPS配置規則,說明蜜網閘道器是如何利用防火牆和入侵檢測技術完成其攻擊資料捕獲和控制需求的。
資料捕獲是蜜網的一個重要目的,包括三個層次,分別是防火牆的日誌記錄、eth1上的嗅探器記錄的網路流和Seek捕獲的系統活動;記錄的內容主要包括:資料包通過時間、包協議型別、進出的網路介面、源地址、目的地址、源埠、目的埠、包長度等。
Roo的資料控制包含兩方面,一是防火牆Iptables對連出(Outbound)的連線數的控制,另一個是網路資訊防禦系統Snort_inline對連出異常資料的限制,還增加了黑名單、白名單、防護名單的功能。
- 防火牆對源地址或者目的地址屬於黑名單的主機,丟棄所有包。
- 對於屬於白名單的主機,接受且不記錄。
- 對於屬於防護名單內的主機,禁止訪問某些不希望被訪問到的主機。
開啟蜜網閘道器,輸入vim /etc/init.d/rc.firewall檢視防火牆的檔案
輸入命令vim /etc/honeywall.conf開啟配置檔案
輸入指令vim /etc/init.d/snortd 開啟Snort指令碼檔案,可看到一些引數的選項和實際執行時候的引數。
輸入指令vim /etc/init.d/hw-snort_inline 可以看到Snort_inline執行時引數。
可以得出上述結論。
3.學習中遇到的問題及解決
windows防火牆設定有些難度,我參考了一些部落格才較好的完成了任務。https://blog.csdn.net/tianwuya217/article/details/17400493
4.實踐總結
通過了本次實驗,我完成了windows和linux的防火牆配置,手動實現了snort分析,思考並理解了蜜網閘道器的安全防護的功能和實現,使我的分析能力和實踐能力有了質的提高。
參考資料
部落格 https://blog.csdn.net/tianwuya217/article/details/17400493
部落格 https://www.cnblogs.com/lsqz/p/12655607.html