20252903 2025-2026-2 《网络攻防实践》第五周作业

一、核心知识点梳理

1.ICMP过滤

ICMP过滤主要通过防火墙规则对 ICMP 协议数据包进行拦截或丢弃，实现禁止外部主机通过 Ping 命令探测本机存活状态的目的。开启 ICMP 过滤后，外部主机执行 Ping 操作时会出现请求超时或无法连通的提示，无法获取主机是否在线的信息，从而降低主机被网络扫描、漏洞探测等前期侦察行为发现的概率，减少暴露在网络攻击下的风险。同时，该配置不会影响 TCP、UDP 等正常业务流量，可在不干扰服务运行的前提下，提升主机基础安全防护能力。

2.Linux防火墙工具iptables

iptables 是 Linux 系统下经典的开源命令行防火墙工具，作为内核 netfilter 框架的管理接口，可对网络数据包进行精细控制。它通过表、链与规则实现数据包过滤、地址转换、端口转发等安全功能，广泛用于服务器防护、路由网关及内网访问控制场景。在实验中可配置规则拦截 ICMP 协议包，禁止外部 Ping 探测以隐藏主机存活状态；也可针对特定 IP 开放 HTTP、FTP 等服务端口，拒绝其他非法 IP 访问，实现最小权限访问策略。

3.Snort

Snort是一款网络入侵检测系统，也可作为轻量级入侵防御系统使用，广泛应用于网络流量分析与攻击检测。它支持实时抓包分析和离线 pcap 文件解析，通过内置规则库匹配恶意流量，自动生成告警日志，可用于攻击溯源与分析。在本次实践中，Snort 用于离线分析给定的 pcap 数据包文件，需在配置文件 snort.conf 中设置明文告警日志输出，并指定日志存储目录。运行对应命令后，它会对 pcap 文件中的网络流量进行深度解析，检测出扫描、漏洞利用等攻击行为，输出详细告警信息。

4.IDS/IPS

IDS/IPS 基于特征规则对流量深度检测，识别端口扫描、漏洞利用、暴力破解等典型攻击行为，实时记录攻击源、手法与目标信息。蜜网网关中，IDS/IPS则负责攻击行为的检测与告警，及时发现恶意流量并记录完整攻击过程。二者联动配合，既实现了攻击数据的完整捕获，又有效控制了攻击风险的扩散，最终达成蜜网“诱捕-监测-管控”一体化的核心防护目标。

5.蜜网网关的防火墙

蜜网网关的防火墙作为边界安全管控核心，通过预设规则精准识别外部可疑网络流量，将所有针对蜜网网段的访问请求、异常端口连接及未知来源流量定向转发至蜜罐集群，确保攻击行为能够完全进入诱捕环境，为IDS/IPS后续检测、攻击数据完整捕获提供前提，避免攻击流量逃逸；同时严格禁止蜜罐主机主动发起外联请求，阻断所有蜜罐对外的TCP、UDP连接及ICMP数据包发送，防止攻击者利用蜜罐作为跳板向外部网络发起二次攻击，有效控制攻击范围扩散，降低蜜网被滥用的风险；此外防火墙与IDS/IPS实现规则联动，将IDS/IPS检测到的恶意攻击源IP、攻击端口等信息同步至防火墙，由防火墙快速执行拦截、拉黑操作，同时防火墙将引流后的流量数据同步给IDS/IPS，支撑蜜网一体化防护目标实现。

二、实践过程

1.任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:

(1)过滤ICMP数据包，使得主机不接收Ping包;

• 在kali虚拟机的root权限下输入命令查看当前的防火墙规则，当前显示规则列表为空
  iptables -L
  
• 在seed虚拟机使用命令显示seed与kali可以正常ping通
  ping 192.168.200.6
  
  
• 在kali输入命令配置防火墙，过滤icmp包
  sudo iptables -A INPUT -p icmp -j DROP
  
• 输入命令查看规则列表，当前显示规则列表配置成功
  iptables -L
  
• 在seed中再次测试连通性发现已经无法ping通，说明kali虚拟机中的防火墙规则过滤掉了icmp协议的ping命令
  
• 在kali虚拟机输入删除此规则的命令
  sudo iptables -D INPUT -p icmp -j DROP
  
• 在seed中再次测试连通性，发现已经恢复
  

（2）只允许特定IP地址，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址无法访问

• 在kali中输入如下指令，启动Apache2网页服务
  service apache2 start
  
• 使用SEED和WinXP访问 http://192.168.200.6 ，发现均可以访问
  
  
• 在kali中，输入指令禁止所有IP访问本机80端口（HTTP服务）
  iptables -I INPUT -p tcp --dport 80 -j DROP
  
• 重新使用SEED和WinXP访问 http://192.168.200.6 ，发现均不可以访问了
  
  
• 在Kali中输入指令，仅允许IP为192.168.200.3的WinXP虚拟机访问本机80端口
  iptables -I INPUT -p tcp -s 192.168.200.3 --dport 80 -j ACCEPT
  
• 在WinXP虚拟机中http://192.168.200.6可以访问了
  
• 在SEED中 http://192.168.200.6 ，依然无法访问，实验成功
  

任务要求：

2.使用Snort对给定pcap文件进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。

• 在Kali虚拟机中输入以下指令，对pcap流量包进行离线分析
  snort -c /etc/snort/snort.lua -r /home/kali/Desktop/listen.pcap
  
• 离线分析执行完成后，输出统计信息：在协议解码部分，135,580 个数据包全部被识别为以太网帧，其中绝大部分为 IPv4 流量，占比 99.985%，仅有 20 个 ARP 包；传输层则以 TCP 流量为主，占比高达 99.950%。
  
• 输入以下命令编辑 Snort3 主配置文件，再输入i切换到编辑模式，在文件中添加配置项alert_full = {file=true}，，添加报警输出配置，输入：wq保存修改并退出
  vim /etc/snort/snort.lua
  
• 继续在文件中添加配置项，enable_builtin_rules = true输入：wq保存修改并退出
  
  -日志中检测到多种网络攻击行为，包括 TCP 端口扫描、Nmap XMAS 隐蔽扫描、异常 TCP 报文探测以及 ARP 扫描等，均属于典型的网络侦察类攻击，主要用于探测目标主机存活状态、开放端口与运行服务，为后续可能的入侵行为提供信息支撑。本次实验成功完成了对 pcap 文件的入侵检测，获得了报警日志。
  

任务要求：

3.分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

• 在HoneyWall虚拟机中输入指令，查看蜜网网关防火墙的配置规则
  vim /etc/init.d/rc.firewall
  
• 在蜜网网关防火墙的配置规则中找到create_chain，查看防火墙的黑名单，白名单以及防护名单
  
• 在蜜网网关防火墙的配置规则中找到default_policy，查看防火墙的默认策略
  
• 黑名单加载模块用于拦截恶意 IP 的攻击流量
  
• 白名单加载模块用于控制哪些流量是可信的
  
• FenceList围栏链通过匹配恶意IP列表，对蜜罐外联流量先日志记录再丢弃，实现攻击数据捕获与扩散控制。
  
  -回到HoneyWall，输入指令查看Snort入侵检测系统的启动服务脚本
  vim /etc/init.d/snortd
  
• 输入指令查看 Snortinline入侵防御系统的启动脚本，分析防御机制：
  vim /etc/init.d/hw-snort_inline
  

蜜网网关以透明网桥模式部署在攻击者与蜜罐之间，通过防火墙与入侵检测技术同步实现攻击数据捕获与攻击数据控制。在数据捕获方面，防火墙通过 LOG 规则记录被阻断的外联行为日志，全流量嗅探留存完整交互流量，入侵检测系统对攻击特征进行识别并生成告警记录，三者共同构成完整的攻击行为记录体系，为后续分析提供可靠依据。在数据控制方面，防火墙通过白名单规则放行合法管理流量，通过围栏规则对蜜罐外联流量进行检查，对匹配恶意 IP 的数据包执行日志记录与丢弃操作，同时通过速率限制控制蜜罐对外连接频率，入侵检测系统则对攻击流量进行主动识别与阻断，限制攻击扩散范围。整体机制在不干扰攻击行为真实性的前提下，实现了对攻击行为的完整记录与对攻击的有效管控。

三、实验中遇到的问题

1.Kali输入指令禁止所有IP访问本机80端口后，WinXP访问不了网页,Linux却还能显示网页。

原因分析：
从实验步骤中发现Linux中的火狐浏览器在规则生效前，已经缓存并渲染了之前成功加载的页面内容，Linux中的火狐浏览器为了提升速度，会把之前成功加载的页面 HTML 和资源缓存到本地。即使现在请求被拦截，它依然会把缓存的内容渲染出来，让用户以为页面还能访问。
解决办法：
使用浏览器自带的工具清除浏览器中的缓存或重启虚拟机

四、学习感想和体会

通过本次围绕防火墙配置、入侵检测与蜜网网关防护的综合实验，我掌握了 ICMP 过滤、iptables 规则配置、Snort 流量分析及蜜网联动防护的核心原理与实操方法，在 iptables 防火墙配置环节，从ICMP 包过滤和基于 IP 与端口的特定访问控制，让我体会到简单的规则配置就能有效隐藏主机存活状态、限制非法服务访问，既不影响正常业务流量，又能显著降低主机被扫描探测的风险，也让我认识到防火墙通过表、链、规则实现对数据包的精准调度与管控，是网络边界防护的基础核心。本次实践不仅提升了我的防火墙配置与流量分析能力，更建立起系统化的网络安全防护思维，为后续深入学习网络攻防技术、应对更复杂的安全场景奠定了扎实基础。