20211907 刘昌赫 2021-2022-2 《网络攻防实践》第5次作业

实践内容

一、防火墙配置
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:
(1)过滤ICMP数据包，使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
二、动手实践：Snort
使用Snort对给定pcap文件（第4章中的解码网络扫描任一个pcap文件，之前的实践已经提供了，请在云班课中下载）进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。
Snort运行命令提示如下：
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）
三、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
实践过程
防火墙配置
说明：Ubuntu【IP地址192.168.1.151】、kali【IP地址192.168.1.152】、winXP【IP地址192.168.0.13】
现在按照题目的要求来拒绝ICMP请求。输入如下的命令：sudo iptables -A INPUT -p icmp -j DROP 接下来我们使用kali去ping ubuntu。

发现ping不通,丢包100%。
之后使用sudo iptables -F清空规则，首先输入：iptables -P INPUT DROP，这样作是为了禁止所有的input数据包，之后输入命令：iptables -A INPUT -p tcp -s 192.168.1.152 -j ACCEPT，这是只允许IP地址为192.168.1.152的kali的tcp数据包。

发现kali可以连上，XP攻击机连不上。
Snort
使用命令：snort -r /homelisten.pcap -c /etc/snort/snort.conf对 listen.pacp 进行入侵检测，。可以以此来查看输出里检测出的数据包。

分析蜜网网关的防火墙和IDS/IPS配置规则

我们先输入：su进行提权，之后使用命令：vim /etc/init.d/rc.firewall 查看防火墙情况，如下图：

之后使用iptables -L 查看它的规则表，如下图：

之后通过命令：vim /etc/init.d/snortd，打开snort文件，可以查看相关的运行参数：

可以查看相关的运行参数，本虚拟机默认用snort.conf规则，默认监听网卡为eth0。

输入命令：vim /etc/init.d/hw-snort_inline可以看到Snort_inline运行时的参数，其中，-D daemon 表示守护模式 -l 表示输出的log文件的目录，-Q 表示使用的Queue模式

蜜网网关开机之后，防火墙、NIDS、NIPS是如何启动的？

输入命令：chkconfig --list|grep snort，可以查询服务是否开启。

如上图，可以发现NIDS的0~6都是OFF，说明它是需要手动启动；而NIPS与防火墙不全是OFF，说明他们是随系统启动而启动。
之后在网上查资料，发现数字1——6分别表示为以下含义：
1表示：单用户模式
2表示：无网络连接的多用户命令行模式
3表示：有网络连接的多用户命令行模式
4表示：不可用
5表示：带图形界面的多用户模式
6表示：重新启动

Snort规则是如何自动升级的？

输入命令：vim /etc/honeywall.conf，在配置文件中找到“update variables”，如图所示，它的值是no：

这说明它不是自动更新的
学习中遇到的问题及解决
问题：在honeywall中，一开始总是打不开防火墙。
解决：在命令vim /etc/init.d/rc.firewall 中，没注意到vim后面有个空格，导致一直报错。
实践总结
Linux系统有着高稳定性，可以作为防火墙以实施边界保护。同时这次实验看上去很难、很麻烦，但实操起来其实很快的。