20232925操昕 2022-2023-2 《网络攻防实践》实践五报告

20232925操昕 2023-2024-2 《网络与系统攻防技术》第五次作业

1.实践内容

一、防火墙配置（IP地址仅供参考，以实际为准）
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:
(1)过滤ICMP数据包，使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
二、动手实践：Snort
使用Snort对给定pcap文件（第4章中的解码网络扫描任一个pcap文件，之前的实践已经提供了，请在学习通中下载）进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。
Snort运行命令提示如下：
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）
三、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

2.实践过程

2.1 防火墙配置

2.1.1过滤ICMP数据包，使得主机不接收Ping包

打开kali虚拟机，使用如下命令，如图一可以查看目前的规则链。
iptables -L

图一

然后ifconfig查看kali的IP地址如图二，为192.168.200.2。

图二

打开metasploite，使用ping命令测试与kali的连通性，可通，如图三。

图三

然后回到kali，用如下命令即可过滤icmp包，如图四。
iptables -A INPUT -p icmp -j DROP

图四

查看当前iptables规则链，发现新增了规则如图五。

图五

此时用metasploite测试与kali连通性，发现无法ping通了，如图六所示。

图六

然后在kali通过如下命令移除过滤规则,如图七。
iptables -D INPUT -p icmp -j DROP

图七

此时再用metasploite来ping kali，可以ping通，如图八。

图八

2.1.2只允许特定IP地址访问主机的某一网络服务，而其他的IP地址无法访问

查询metasploitable地址为192.168.200.130 ，如图九。

图九

在kali和winXPattacker上分别用telnet访问metasploitableIP成功，如图十和图十一所示。

图十  图十一

在metasploitable上通过如下命令拒绝数据访问，但是允许kali访问，如图十二
iptables -P INPUT DROP 拒绝数据访问 iptables -A INPUT -p tcp -s 192.168.200.2 -j ACCEPT 允许kali(192.168.200.2)访问

图十二

然后继续测试，在winXPattacker用telnet访问metasploitable，结果如图十三所示无法访问。

图十三

如图十四,左边终端是最初telnet访问metasploitable成功，而右边是在metasploitable禁用数据后访问，第一次一直在尝试连接，而后允许kali访问后，再次用telnet命令可以访问了。

图十四

2.2 动手实践：Snort

vim /var/log/snor,编辑snort.conf，配置明文输出报警日志文件，添加如下命令如图十五，然后保存退出。
output alert_csv: /var/log/snort/alerts.csv default

图十五

通过如下命令对listen.pacp进行入侵检测。如图十六。可以图中看到TCP类型数据包占了大多数。
snort -c /etc/snort/snort.conf -r listen.pcap -K ascii，

图十六

在默认目录 /var/log/snor 可以看到snort的日志文件，其中生成的内容如图十七所示，其中已经配置了输出明文警告日志alerts.csv。

图十七

打开其中一个流量文件，能看见源IP和目的IP，端口以及扫描方式为nmap。

图十八

然后将告警日志复制到windows系统打开分析，能看到各个时间段流量的类型。如图十九

图十九

2.3 分析配置规则

通过如下命令查看防火墙的文件，如图二十
vim /etc/init.d/rc.firewall

图二十

输入如下指令查看规则列表，如图二十一。
iptables -t filter -L | less

图二十一

通过输入如下指令，查询snort文件，发现监听的网卡为eth0，配置文件为snort.conf，如图二十二。
vim /etc/rc.d/init.d/snortd

图二十二

通过访问hw-snort_inline文件，查询snort各种参数介绍，输入指令,结果如图二十三。
vim /etc/init.d/hw-snort_inline

图二十三

通过指令查看服务情况，如图二十四。
chkconfig --list | grep iptables； chkconfig --list | grep snort

图二十四

3.学习中遇到的问题及解决

• 问题1：在kali中使用snort对pcap包入侵检测，结果显示不正确。
• 问题1解决方案：考虑可能是系统版本问题，后选择了ubuntu22.04安装snort，检测无异常。
• 问题2：在蜜网网关进行实验室，输入命令无效。
• 问题2解决方案：发现没有提权，需要先输入su -进行提权。

4.实践总结

本次实践主要运用了iptables进行防火墙配置，禁用流量而允许特定IP通过；然后用snort工具进行入侵检测，学习如何获取日志，通过日志和流量分析检测攻击，以此了解蜜网网关的防火墙和IDS/IPS配置规则。总的来说本次实验的难度适中，但是需要细心且规划好自己的实验步骤。