20212912 2021-2022-2 《网络攻防实践》第五次作业
1.实践内容
1.1防火墙
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
1.2入侵检测系统
IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
1.3入侵防御系统
入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
1.4 Snort
Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
1.5实验环境
机器名称 | IP地址 | MAC地址 |
kali | 192.168.200.3 | 00:0C:29:DC:D7:A9 |
Seed | 192.168.200.5 | A8:C2:EF:3B:C9:27 |
Windows server | 192.168.200.4 | 00:0C:29:C6:1A:9F |
WinXPattacker | 192.168.200.6 | 00-0C-29-72-CC-45 |
2.实践过程
2.1 Linux防火墙配置
2.1.1过滤ICMP数据包
过滤ICMP数据包,使得主机不接收Ping包
使用iptables -L查看seed的防火墙规则
此时,用seed(192.168.200.5) ping kali(192.168.200.3),没有问题
使用命令iptables -A INPUT -p icmp -j DROP使得主机不接收ICMP包。
-A INPUT:将input规则添加到链尾;
-p icmp:指定icmp协议;
-j DROP:指定对应数据包进行丢弃。
再次查看规则:
此时用seed再次ping kali,可见已经不能成功了:
实验完成后,使用iptables -F 清除所有规则。
2.1.2只允许特定地址访问
只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
设置前,用windows server和seed访问kali的telnet服务,发现可以成功。
使用命令iptables -A INPUT -p tcp -s 192.168.200.4 -j ACCEPT只允许seed(192.168.200.5)访问kali主机
设置好后,用seed和windows server访问kali,可见只有seed可以成功访问。
Windows主机已经不能访问
输入iptables -F和iptables -P INPUT ACCEPT恢复防火墙的默认状态
2.2Windows防火墙配置
2.2.1过滤ICMP数据包
设置之前,kali可以ping通WinXPattacker(192.168.200.6)
打开Windows防火墙
在高级→ICMP设置中,把允许传入回显请求勾掉
kali就ping不通windowsXP了
2.2.2只允许特定地址访问
首先在Metasploitable和kali上均尝试使用telnet登录WinXPattacker均可成功连接
然后在防火墙中添加端口23,更改范围,填写主机kali的ip地址192.168.200.3,点击确定
然后在kali和Metasploitabl上重新尝试登录WinXPattacker的telnet服务,可以发现在kali上能够成功连接主机,但是在Metasploitable上连接失败
2.3动手实践:Snort
使用Snort对给定pcap文件进行入侵检测,并对检测出的攻击进行说明,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
执行snort -c /etc/snort/snort.conf -r /home/kali/Downloads/listen.pcap -K ascii从离线的pcap文件读取网络日志数据源:
snort会在默认目录 /var/log/snort 生成一个报警文件,查看报警文件
可以看出攻击是用nmap发起的。攻击机IP地址是 172.31.4.178,靶机IP地址是 172.31.4.188 ,还可以看到端口号等信息。
2.3分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
查看防火墙配置的命令 vim /etc/init.d/rc.firewall
可以看到rc.firewall脚中有三个链:黑名单、白名单、防护名单。
对于黑名单中的主机,防火墙会丢弃与他相关的包;对于白名单中的主机,防火墙允许通过;防护名单里的主机,防火墙不让他们访问某些主机。
输入iptables -t filter -L,查看规则表。
可以看到默认的规则入INPUT、FORWARD、OUTPUT都已经被关闭了。
输入vim /etc/rc.d/init.d/snortd查看snort的执行参数
可以看到使用默认目录下的snort.conf规则,监听网卡为eth0,存储日志路径为/var/log/snort
通过vim /etc/init.d/hw-snort_inline打开Snort_inline脚本文件,可以观察到实际执行参数。
-D表示Daemon模式;-c表示配置文件;-Q表示队列模式;-l表示日志目录;-t表示初始化后改变进程所参考的根目录位置
3.学习中遇到的问题及解决
3.1 允许传入回显请求关不掉
ICMP设置中允许传入回显请求前面的复选框是灰色的,而且关不掉
需要关掉例外选项,然后允许传入回显请求前面的复选框就可以关掉了
3.2kali不支持telnet
需要安装并配置
apt-get install telnetd,除了要安装telnet外,还需要安装xinetd
启动xinetd命令
3.3找不到snort
需要安装
3.4蜜罐打开没有东西
蜜罐启动后,使用vim查看文件发现无此文件
需要用su – 来提权
4.学习感想和体会
通过完成本次实验,我学会了如何配置Linux防火墙iptables以及Windows防火墙,动手实践了Snort的使用,我知道了如何给kali安装telnet。
