20252807 2025-2026-2《网络攻防实践》 第5次作业

1.实践内容

一、防火墙配置

任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问

二、动手实践:Snort

使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在学习通中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)

三、分析配置规则

分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

2.实践过程

2.1 防火墙设置

本实验用到的虚拟机及IP地址:
seed:192.168.200.3
winXP:192.168.200.5
kali:192.168.200.6

2.1.1 过滤ICMP数据包,使得主机不接收Ping包

输入命令iptables -L查询规则:
8149b8b0e9318e582dbed4ff9f206da4
由此可以看出没有添加任何规则。
使用seed和winXP来ping kali:
20d80651d8216a3addd6b367d1e43a0a
01c8dc173cc6fea8ca78439c6597fed7
都可以ping通。
在kali中添加规则:
输入命令iptables -A INPUT -p icmp -j DROP
305da6cb963deaf3e722ba4b7ad45c54
然后查看规则是否添加成功:
5180b64c08d114f4b3ac3aa197eaf4e9
添加成功,会丢弃icmp包。
然后用seed ping kali,测试是否起作用:
2daa8c6090eecdadbeab1f2079cb55cf
无法ping通,因为已经过滤了icmp包。

2.1.2只允许特定IP地址,访问主机的某一网络服务,而其他的IP地址无法访问

我选择了http服务进行操作。
输入命令python3 -m http.server 80,在kali中启用HTTP服务:
291051c632216ca32c5ea2f73a01b756
seed和winXP都可以登录:
2de1544a98651507103abd498d86d2cb
b84847f64ab9acc8a8ef5fe095ffd883
然后加入规则,指定只有seed可以访问80端口:
在kali中输入命令

iptables -A INPUT -p tcp --dport 80 -s 192.168.200.3 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

5b9fc71fff17adeffd888ec1dbcfdbdf
seed可以访问,而winXP不能访问了:
0c37975f6732f8e99400df580370bd80
20c17e763d980ae32ebf4046bb5b88b2

2.2 动手实践:Snort

7617dddd1a5fef4f63cbb765c18025a1
上图为snort版本。
输入命令进行入侵检测:

snort -c /etc/snort/snort.lua -r /home/kali/listen.pcap -l /etc/snort/log -A alert_full

可以查看到日志文件:
c333317b92839693bbe8b5f550020bb2
图中可以看到,受到了Nmap XMAS攻击。
还可以查看统计信息:
df2b8381512d16025cac4efd6ca9fb86
2618b99572bc31daa781288299f64d38
处理了135580个数据包,大部分是ipv4和tcp,只有少量udp和arp。

2.3 分析配置规则

在honeywall中查看防火墙配置规则:
输入命令vim /etc/init.d/rc.firewall查看:
e32354f4c30949747628877d4186aeb7

c29697221c40b1970db30e37a076ba9a

0615bc4446d70e3cf844cb10f5e6bf11

06b8044b98d1ee46b2e00fc6d33bfbd1
上图分别是创建黑白名单的条件、处理规则、黑名单的规则和白名单的规则。
通过iptables -L|more可以查看到具体的防火墙规则:
5555a55217f1a1478cd8ecb368b2c683
192.168.200.0/25网段内的都可以访问。
输入命令:vim /etc/init.d/snortd查看snort的脚本文件:
c22698a1b1ab803b8ba367d92ae811e7
输入命令:vim /etc/init.d/hw-snort_inline查看蜜网启动的过程:
35cbd5a7c0f28bab3aef8a296321849f

3. 学习中遇到的问题及解决

问题1:查看不了snort的日志文件
输入:snort -c /etc/snort/snort.lua -r /home/kali/listen.pcap -l /var/log/snort看不到日志文件。
解决方案:借鉴同学的做法,将命令更改为snort -c /etc/snort/snort.lua -r /home/kali/listen.pcap -l /etc/snort/log -A alert_full就可以查看到了。

4. 学习感想和体会

通过本次防火墙配置、Snort 入侵检测与蜜网规则分析实践,我对网络安全防护体系有了直观认知。用 iptables 过滤 ICMP、限制特定 IP 访问服务,让我掌握了基础访问控制逻辑;借助 Snort 解析 pcap 文件识别扫描攻击,理解了入侵检测的特征匹配原理。分析蜜网网关规则后,更明白防火墙与 IDS/IPS 协同,既能管控流量、拦截异常,又能完整捕获攻击行为,为安全防御提供数据支撑。

posted @ 2026-04-13 12:29  Aukeeke  阅读(6)  评论(0)    收藏  举报