20232802 黄千里 2023-2024-2 《网络攻防实践》实践五报告

最新推荐文章于 2024-09-13 17:25:49 发布

20232802黄千里

最新推荐文章于 2024-09-13 17:25:49 发布

阅读量700

点赞数 8

文章标签：网络

本文链接：https://blog.csdn.net/Alex_hql/article/details/137648744

版权

本文详细描述了在Linux和Windows平台上配置iptables防火墙，阻止ping包和限制特定IP访问网络服务的过程，以及使用Snort进行入侵检测和规则分析。作者还分享了解决实验中遇到的问题和实践总结。

摘要由CSDN通过智能技术生成

20232802 黄千里 2023-2024-2 《网络攻防实践》实践五报告

一、实践过程

1防火墙配置

实验要求：任务要求:配置Linux操作系统平台上的iptables,和Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:
(1)过滤ICMP数据包，使得主机不接收Ping包;
(2)只允许特定IP地址访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址无法访问

Linux操作系统平台
（1）过滤ICMP数据包，使得主机不接收Ping包
打开Kali，首先使用sudo iptables -L命令查看链中所有的规则，可以看到默认规则
在这里插入图片描述
此时测试Kali与同一局域网下的WinXPAttacker，可以正常连通

使用sudo iptables -A INPUT -p icmp -j DROP命令添加一条入站规则，即丢弃ICMP数据包，添加完后使用sudo iptables -L命令查看添加的规则：

此时再测试与WinXPAttacker的连通性可以发现，没有收到回应，数据包全部丢失：
在这里插入图片描述
在此过程中使用Wireshark抓取数据包可以发现，Kali确实向WinXPAttacker发送了ICMP数据包，但是被防火墙拦下：

（2）只允许特定IP地址，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址无法访问
首先确认winXPattacker和kali两攻击机都可以成功telnet连接Metasploitable_ubuntu
在这里插入图片描述

接下来，在 Metasploitable_ubuntu 上执行以下命令sudo iptables -P INPUT DROP，拒绝一切数据包流入
再用winXPattacker和kali两攻击机对Metasploitable_ubuntu进行telnet连通性测试，都不可以进行连接

在Metasploitable_ubuntu上使用sudo iptables -A INPUT -p tcp -s 192.168.200.2 --dport 23 -j ACCEPT命令添加一条入站规则，即只接受来自IP地址为192.168.200.2（kali）的访问23号端口的TCP包：
在这里插入图片描述
在kali机（192.168.200.2）上对Metasploitable_ubuntu（192.168.200.123）进行telnet连接，发现可以正常连接!!

在WinXPattacker（192.168.200.4）上对Metasploitable_ubuntu（192.168.200.123）进行telnet连接，还是无法连接

至此实现了只允许特定IP地址进行访问的设置。

2动手实践：Snort

使用Snort对给定pcap文件（第4章中的解码网络扫描任一个pcap文件，之前的实践已经提供了，请在云班课中下载）进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。
Snort运行命令提示如下：
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）

使用snort -c /etc/snort/snort.conf -r /listen.pcap -K ascii命令，从离线的pcap文件读取网络日志数据源，可以看到TCP数据包占大多数：
在这里插入图片描述

snort会在默认目录 /var/log/snort 生成一个日志文件，进入/var/log/snort文件夹中，使用vim alert可以看到本次攻击是用nmap发起的，其中攻击机IP地址是 172.31.4.178，靶机IP地址是 172.31.4.188 ，还可以看到端口号等信息：
在这里插入图片描述

3分析配置规则Snort

查看防火墙配置的命令 vim /etc/init.d/rc.firewall
1）找一下start函数（vim下可以使用/start进行查找定位），在start函数中

首先是create_chains函数，定义了下述程序中使用的规则。BlackList、WhiteList、FenceList和xxxHandler。它们分别用来存储源地址和目的地址黑名单，源地址和目的地址的白名单，源地址和目的地址的防护名单，以及供下述policy使用的各种协议对应的Handler链。

接下来通过default_policy、localhost_policy和management_policy创建了不同情况下的三种代理转发模式。

接下来进入start程序的正文，通过读取预定义的白名单HwFWWHITE、黑名单HwFWBLACK和防护名单HwFWFENCE，添加相关的规则。

最后通过读取类似HwHPOT_PRIV_IP_FOR_NAT和HwHPOT_PUBLIC_IP等文件来导入其他的定义参数。如下图：
在这里插入图片描述
create_chains()函数如下：

default_policy（）、localhost_policy（）和management_policy（）如下：

2)获取IPTables的实际规则列表、snort和snort_line的实际执行参数
输入iptables -L来查看规则列表，如下图：

3）通过 vim /etc/init.d/snortd 打开Snort脚本文件，查看相关的运行参数，可以分别看到一些参数的选项，
包括实际运行时候的参数。学习一些snort的指令后进行分析，譬如在指定网卡接口后，如果没有其他的参数，
将按照默认参数运行。如默认不开启-A模式，使用默认目录的config文件，默认使用eth0、使用二进制模式保存log文件等，如下图：
在这里插入图片描述
4）vim /etc/init.d/hw-snort_inline可以看到Snort_inline运行时参数，-D表示Daemon模式，
-c表示读取config文件，-Q表示使用QUEUE模式，-l表示输出log文件的目录，-t表示改变程序执行时所参考的根目录位置，如下图：

5）防火墙、NIDS、NIPS是如何启动
使用chkconfig --list|grep snort命令来对linux上运行的服务进行查询，可以发现NIDS的0~6都是off，说明是需要手动启动的，
而防火墙和NIPS不全是off，是跟随系统启动的。
在这里插入图片描述
6）snort规则的升级方式
我们使用命令vim /etc/honeywall.conf打开配置文件，找到update variables，可以看到其值为no，则表示不自动更新，如下图：