20212917于欣月 2021-2022-2 《网络攻防实践》第五周作业
20212917于欣月 2021-2022-2 《网络攻防实践》第五周作业
目录
| 虚拟机镜像名称 | IP |
|---|---|
| kali | 192.168.11.133 |
| WinXPattcker | 192.168.11.167 |
| SeeD Ubuntu | 192.168.11.158 |
| Linux Metaolitable | 192.168.11.39 |
1.实验要求及过程
防火墙配置
配置Linux平台上的iptables,完成如下功能并测试:(1)过滤ICMP数据包,使主机不接受ping包;(2)只允许特定IP地址访问主机的某一网络服务,而其他IP地址无法访问。(以SEED Ubuntu作为服务器,利用Kali访问SEED Ubuntu,Kali作为信任主机,Linux MetaSploitable作为不可信任主机。)
一、过滤ICMP数据包,使主机不接受ping包
- (1)首先在SEED Ubuntu上通过
iptables -L查看规则,发现都是默认规则。
- (2)在SEED Ubuntu上输入
iptables -A INPUT -p icmp -j DROP使得主机不接受icmp的数据包。(-A是追加一条规则,INPUT表示数据包入口(规则),-p用于匹配协议,-j用于指定如何处理(ACTION))。
- (3)此时通过Kali ping SEED Ubuntu,发现是ping不通的,然后再在SEED Ubuntu上通过
iptables -L查看规则,可以发现多了一条icmp针对任何位置不允许访问的规则。
- (4)最后使用
iptables -F删除自定义规则。
二、只允许Kali访问SEED Ubuntu的telnet服务。
- (1)首先,我们确定两台机器都可以进行telnet登陆。
- (2)接下来在SEED Ubuntu上输入
iptables -P INPUT DROP指令拒绝一切的数据包流入(修改的是默认规则-P),此时应该两台电脑都无法进行访问。
- (3)在SEED Ubuntu上使用
iptables -A INPUT -p tcp -s 192.168.11.133 -j ACCEPT开启192.168.11.133对kali的tcp服务。并用iptables -L查看规则。
- (4)此时我们发现Kali是可以正常访问telnet服务的,但是MetaSploitable却是无法访问的。
- (5)最后别忘了执行
iptables -F和iptables -P INPUT ACCEPT两条指令恢复之前的状态。
配置WindowsXP上的iptables,完成如下功能并测试:(1)过滤ICMP数据包,使主机不接受ping包;(2)只允许特定IP地址访问主机的某一网络服务,而其他IP地址无法访问。(以WindowsXP作为服务器,利用Kali访问WindowsXP,Kali作为信任主机,Linux MetaSploitable作为不可信任主机。)
一、过滤ICMP数据包,使主机不接受ping包
- (1)首先打开防火墙
- (2)打开
控制面板→windows防火墙→高级→ICMP的设置,然后把允许传入回显请求勾掉,kali就ping不通windowsXP了。
二、只允许Kali访问WindosXP的telnet服务。
- (1)首先确定两台机器都可以进行telnet登陆。
- (2)
控制面板→管理工具→本地安全策略,右键IP安全策略选择创建IP安全策略
- (3)设置IP安全策略名称为
限制固定IP远程访问,在警告提示框选择“是”,其它均保持默认.
- (4)为新添加IP安全规则添加安全规则属性(和第一添加规则步骤是相同的),警告选“是”。
- (5)
ip筛选列表选择添加,输入筛选名称阻止所有IP远程访问,再点击添加。
- (6)先设置禁止所有IP访问——源地址:任何IP地址——目标地址:我的IP地址——协议:TCP——到此端口输入:23(23为telnet端口),其它均可保持默认
- (7)完成后,会在IP筛选列表看到添加的信息。
- (8)在点确定后——选择配置的“阻止所有IP远程访问”,下一步——添加——选择“阻止”——最后确定(默认“阻止”是没有的,只有请求安全、需要安全、允许三个选项。添加,下一步)
- (9)指派一下,telent不通了。
- (10)同样的操作,在
阻止所有IP远程访问的安全策略中,新添一个IP筛选器列表,把源地址改为一个特定的IP地址,然后输入kali的IP地址192.168.11.133,重新指派一下,kali就能ping通了。
Snort
使用Snort对给定的pcap文件进行入侵检测,并对检测出的攻击进行说明
- (1)利用指令
snort -r listen.pacp -c /etc/snort/snort.conf -K ascii对listen.pacp进行入侵检测,-K ascii主要是为了指定输出log文件的编码为ASCII
- (2)查看输出,可以看到检测出的数据包大部分为TCP数据包。
- (3)在
/var/log/snort/下用vim snort.alert.fast查看该文件,fast是一种快速简单的输出插件,之所以快是因为它只记录timestamp(时间戳)、signature(特征)、source IP、destinationIP、source port、destination port、TCP flags和Protocol。
- (4)要想查看更加详细的信息,用指令
snort -A full -r listen.pacp -c /etc/snort/snort.conf -K ascii对listen.pacp进行入侵检测.
- (5)在
/var/log/snort/下用vim alert查看该文件,可以得到详细的警报。
分析蜜网网关的防火墙和IDS/IPS配置规则
说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求。
-
(1)数据控制一般包括防火墙对数据的控制和IPS对异常数据的限制。打开蜜网网关后,首先使用
su -提权,然后用vim /etc/init.d/rc.firewall,查看三链:黑名单、白名单和防护名单。 -
防火墙对源地址或者目的地址属于黑名单的主机,丢弃所有包。
-
对于属于白名单的主机,接受且不记录。
-
对于属于防护名单内的主机,禁止访问某些不希望被访问到的主机。
- (2)IPTables的实际规则列表:数据捕获主要包括防火墙日志记录和snort网络流记录。通过
iptables -t filter -L | more来查看规则列表。不难发现,默认的规则入OUTPUT、INPUT、FORWARD都已经被关闭了,取而代之的是一些自定义的规则(包括之前配置Roo的一些参数也反映在规则表上)。
- (3)Snort实际执行参数:通过
vim /etc/init.d/snortd打开Snort脚本文件,观察第一张图可以看到一开始是一些参数的选项,第二张图对应实际运行时候的参数。在指定网卡接口后,如果没有其他参数,将按照默认参数运行。比如默认不开启-A模式,默认使用/etc/snort/snort.conf(默认目录config文件)、eth0、二进制模式保存log文件等。
- (4)Snort_inline实际执行参数:通过
vim /etc/init.d/hw-snort_inline打开Snort_inline脚本文件,可以观察到实际运行的参数,以及在最前面定义的参数。
- (5)通过指令
chkconfig --list | grep [服务]来查询当前服务是不是开启的。chkconfig命令主要用于检查设置系统的各种服务。我们发现防火墙和NIPS(snort_inline)是跟随系统启动的,并且开机自动配置刚才的脚本文件。NIDS是需要手动启动的。
- (6)使用
vim /etc/honeywall.conf打开honeywall配置文件,这个里面可以看到很多东西:之前安装roo时配置的IP地址、白名单黑名单的位置、snort规则更新的地方等。我们可以看到Oinkmaster字样,通过查询,这个果然是个自动更新的软件。通过观察,我们发现自动更新是默认关闭的。
- (7)然后用
vim /etc/oinkmaster.conf,可以看到文件有较为详尽的注释。
2.学习中遇到的问题及解决
- 问题1:防火墙配置的Windosxp中,kali等主机用telnet命令没有用。
- 答:在windosxp中,开始->运行,输入services.msc 回车 找到Telnet修改启动类型为自动或者手动,然后在防火墙的高级本地连接的设置中,勾选Telnet服务器,然后在cmd中输入
net start telnet就能开启。
- 问题2:防火墙配置的Windosxp中,已经创建一个限制所有IP访问的安全策略,kali等主机仍能使用telent访问windosxp
- 答:根据资料里的端口设置的不对,windowsxp中telnet端口为23,所以要把端口改为23,查看端口的方法如图,还要记得进行指派。
- 问题3:在snot的实验中,使用视频中的命令并没有生成alert文件
- 答:在入侵检测模式中alert-mode有fast、full、unsock和none四种模式。fast是一种快速简单的输出插件,之所以快是因为它只记录timestamp(时间戳)、signature(特征)、source IP、destinationIP、source port、destination port、TCP flags和Protocol。具体的使用方法是
-A alert-mode,使用full模式就可以得到alert文件,Full对每个产生警报的IP将其解码后的包记录下来。与fast不同的是,它记录地更全面。
3.学习感想和体会
- 本次实验中,针对windosxp的防火墙配置并没有学习视频等,只能从网上自己查,所用到的资料我都放在参考资料里!
