20231902 吴文亮 2023-2024-2 《网络攻防实践》实践5报告

1.实践内容

1.1 防火墙配置

任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:
(1)过滤ICMP数据包，使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

1.2 动手实践：Snort

使用Snort对给定pcap文件（第4章中的解码网络扫描任一个pcap文件，之前的实践已经提供了，请在学习通中下载）进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。

Snort运行命令提示如下：
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）

Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log（不报警但记录网络流量）五种响应的机制。Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。

1.3 分析配置规则

分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。

2.实践过程

2.1 配置iptables

2.1.1 过滤ICMP数据包
实验中的攻击机kal：192.168.200.6i和靶机seed：192.168.200.4
在kali中先输入iptables -L查看规则列表

如上如，此时未添加任何规则，然后使用seed去ping kali

成功ping通
接下来添加规则，使用命令iptables -A INPUT -p icmp -j DROP，再使用iptables -L查看规则表

可以看到规则添加成功，此时再用seed去ping kali

发现已经ping不通了
使用命令iptables -D INPUT -p icmp -j DROP删除该规则

再用seed去ping kali，发现可以ping通了

2.1.2 特点ip地址访问主机
kali、seed和winxp，ip地址分别为192.168.200.6、192.168.200.4和192.168.200.3
使用kali去telnet seed

登录成功，再用xp去访问seed

登录成功
在seed上使用iptables -P INPUT DROP配置iptables规则，禁止所有主机访问seed

然后用kali和winxp去telnet seed，发现无法连接成功，其中kali加载时间过长，所以我主机主动终止连接

在seed中使用命令iptables -A INPUT -p tcp -s 192.168.200.4 -j ACCEPT，使得kali可以访问seed

kali成功访问，但winxp仍然无法访问

2.2 动手实践Snort

使用命令snort -r /home/kali//Downloads/listen.pcap -c /etc/snort/snort.conf -K ascii 对 listen.pacp 进行入侵检测

查看数据包，发现大部分数据流为tcp会话，少部分为ARP

使用命令cd /var/log/snort进入报警日志目录, 查看日志文件，发现攻击来自于nmap.

2.3 分析配置规则

使用命令vim /etc/init.d/rc.firewall查看防火墙的文件

使用命令iptables -t filter -L | less，查看规则列表

使用命令vim /etc/rc.d/init.d/snortd，发现监听的网卡为eth0，配置文件为snort.conf

使用命令 vim /etc/init.d/hw-snort_inline打开snort_inline的脚本文件，可以看到到实际执行的参数

使用命令chkconfig --list|grep 查看服务情况

使用命令 vim /etc/oinkmaster.conf 打开oinkmaster.conf 文件，发现了snort.conf文件

3.学习中遇到的问题及解决

• 问题1：在seed上配置iptables规则，输入iptables -P INPUT DROP无反应
• 问题1解决方案：需要在seed上安装iptables，apt install iptables

4.实践总结

通过此次实验，我了解了基本的访问控制，和防火墙的基本信息，了解了分析配置规则的基本步骤，在以后可能用的到。