20212801 2021-2022-2 《网络攻防实践》第五周作业

一、实践内容

1.防火墙配置

任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:

(1)过滤ICMP数据包，使得主机不接收Ping包;

(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
2.动手实践：Snort

使用Snort对给定pcap文件（第4章中的解码网络扫描任一个pcap文件，之前的实践已经提供了，请在云班课中下载）进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。

Snort运行命令提示如下：

①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）

3.分析配置规则

分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

二、实验过程

　　kali----->metasploitable

①过滤icmp，禁止被ping

metasploitable IP:

kali IP:

metasploitable过滤icmp包

ping不着了

②只允许特定IP地址，访问主机的某一网络服务

kali telnet到metasploitable：

metasploitable丢弃所有的icmp包。

ping不通了：

接受指定IP连接

指令输入后，不知道为啥metasploitable的ip地址变了，可能是网络波动吧。

又连上了

kali————>windows10

win10的IP：

kali ping win10：

设置过滤icmp包

ping不通了：

②只允许特定IP地址，访问主机的某一网络服务

在win10上设置ftp服务器，设置主机地址为ftp服务器地址，端口号为21。

kali连接win10 ftp服务器

win10 过滤ip禁止其他主机访问ftp服务器

不让连了，不知道为啥显示是让输入用户名密码？可能是为了防止机主反悔了？

允许特定ip连接

又可以连接了

动手实践：Snort

①从离线的pcap文件读取网络日志数据源

可以看到基本都是tcp包

②在snort.conf中配置明文输出报警日志文件③指定报警日志log目录（或缺省log目录=/var/log/snort）

可以看到攻击机ip和使用的端口号，以及使用的服务

分析配置规则

分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

打开密网网关的iptables的初始化文件

iptables组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

　　图文描述，通俗易懂：https://blog.csdn.net/weixin_44792344/article/details/109674599

start是启动函数，里面包括load_modules、flush、create_chains、default_policy、localhost_policy、management_policy

load_modules：加载各种启动所需的模块

flush：清空已存在的规则

create_chains：建立链，用于储存某些数据，例如白名单、黑名单。

三种policy，用于处理不同情况下的三种转发策略

查看iptables规则表，在上一个部分允许某些ip访问主机某些网络服务时有用到过。

snort命令的一些方法，例如-A参数在上面的实验中就用到过。

查看防火墙、IDS/IPS的启动情况。

三、学习中遇到的问题及解决

windowsXP虚拟机不知道为啥非常卡，只能用主机当作靶机进行实验。启动主机ftp服务时遇到了一些困难。

四、学习感想和体会

在前几次实验用工具的时候感觉很爽，但是越接近底层感觉到困难，学海无涯。

posted @ 2022-04-17 17:12 besti-ttyy 阅读(51) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部