一、实践内容
1.过滤ICMP数据包,使得主机不接收Ping包。
2.只允许特定IP地址访问主机的某一网络服务。
3.使用Snort对给定pcap文件进行入侵检测,并对检测出的攻击进行说明。
4.分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则
二、实验过程
1.用kail虚拟机过滤icmp包
kail 200.5 ubuntu 200.3
来此icmp的包就丢掉
ping不通了
2.不接受win的telnet连接
kail 200.5 ubuntu 200.3 win200.4
让kail接受ubuntu的telnet服务,不接受win的telnet服务
一直整不上,重新配置telnet就好了
开始都能连上
来自win的包丢掉
连不上了
3.snort分析
可以统计攻击次数,警报等信息
有很多nmap的扫描,还能看到攻击的ip地址
4.
看到防火墙的过滤规则,通过数据控制方式,设置三个名单:黑名单、白名单、防护名单
数据捕获是防火墙的日志记录和Snort记录的网络流
可以看到Snort实际执行参数:D表示Daemon模式,c表示读取config文件,Q表示使用QUEUE模式,l表示输出log文件的目录
查阅资料找到了流程图
蜜罐与蜜网技术在网络安全领域中的具体应用,包括通过对网络攻击流量的捕获,进而捕获到目标恶意代码。在捕获到恶意代码之后,可以进行进一步的恶意代码行为分析。除此之外,蜜罐与蜜网技术的应用还包括入侵取证以及对攻击流量进行分流。经分析未知的攻击活动,可以进一步构建完善的安全行为特征库,以便为处理各种网络安全问题提供强有力的支持。
三、遇到的问题和思考
1.telnet连不上
解决:重新配置了kail,重装,重新配置telnet数据。
2.蜜罐没有iptables指令,也没有apt指令
解决:apt安装不了,版本太老,su -进入配置页面,换用户也没换成,这两部分没有截图,看的别的同学的截图。