20212914 2021-2022-2 《网络攻防实践》第五次（第七周）作业

1.实践内容

1.1 防火墙配置

任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:
(1)过滤ICMP数据包，使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

1.2 动手实践：Snort

使用Snort对给定pcap文件（第4章中的解码网络扫描任一个pcap文件，之前的实践已经提供了，请在云班课中下载）进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。
Snort运行命令提示如下：

①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）

Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log（不报警但记录网络流量）五种响应的机制。Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。

1.3 分析配置规则

分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

2.实践过程

2.1 防火墙配置

任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:

2.1.1 Linux操作系统

(1)过滤ICMP数据包，使得主机不接收Ping包。

kali ：192.168.75.128
Metasploitable2：192.168.75.130
Windows server：192.168.75.129
Windows XP：192.168.75.131
1、在Metasploitable2中ping kali，目前可以ping通。

2、在kali上通过iptables -L查看默认规则。

3、执行命令iptables -A INPUT -p icmp -j DROP，使得主机不接受icmp的数据包。

-A：是追加新规则于指定链的尾部
INPUT：表示数据包入口（规则）
-p ：用于匹配协议
-j ：用于指定如何处理（ACTION）
再次查看规则，发现多了一条icmp针对任何位置不允许访问的规则。

4、再次用Metasploitable2来ping主机kali，发现 ping 不通了。

5、最后执行iptables -F清楚所有规则。

6、再次查看是否能ping通，结果是可以ping通的。

(2)只允许特定IP地址，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址无法访问

设置前，用kali和Windows server访问主机Metasploitable2的ftp服务，都可成功。

使用命令iptables -P INPUT DROP拒绝一切数据流入。

使用命令iptables -A INPUT -p tcp -s 192.168.75.128 -j ACCEPT只允许kali（192.168.75.128）访问主机。

输入iptables -F和iptables -P INPUT ACCEPT恢复之前的状态。

2.1.2 Windows操作系统

(1)过滤ICMP数据包，使得主机不接收Ping包。

设置之前，kali可以ping通WinXPattacker（192.168.75.131）

打开Windows防火墙。

在高级，ICMP设置中，把允许传入回显请求勾掉。

kali就ping不通windowsXP了

(2)只允许特定IP地址，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址无法访问

设置前，用kali和Metasploitable2访问主机winXPattacker的ftp服务，都可成功。

然后在防火墙选择ftp服务，更改范围，填写kali的ip地址192.168.75.128。

然后在kali和Metasploitabl上重新尝试登录WinXPattacker的ftp服务，发现在kali上能够成功连接主机，但是在Metasploitable上连接失败。

2.2 动手实践：Snort

①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）

1、执行命令snort -c /etc/snort/snort.conf -r /home/kali/Desktop/listen.pcap -K ascii
从离线的pcap文件读取网络日志数据源。

-c：表示选择snort配置文件
-r：表示从pcap格式的文件中读取数据包
-K：ascii是用来指定输出日志文件的为ASCII编码

如图所见TCP包占绝大多数。

2、snort会在默认目录 /var/log/snort 生成一个日志文件。
输入命令cd /var/log/snort 进入文件夹。
输入命令vi snort.alert.fast，查看具体文件。
可以看到，本次攻击是用nmap发起的，攻击机IP地址是 172.31.4.178，靶机IP地址是 172.31.4.188 ，还可以看到端口号等等。