20222823 2022-2023-2 《网络攻防实践》实践五报告

一、实践内容

1、防火墙配置
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙
2、动手实践：Snort
使用Snort对给定pcap文件进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。
3、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

二、实践过程

1、防火墙配置

kali的ip地址为：192.168.200.6

WinXP的ip地址为：192.168.200.4

Ubuntu的ip地址为：192.168.200.3

1.1过滤ICMP数据包，使得主机不接收Ping包

使用Ubuntu来ping 192.168.200.6发现Ubuntu可以ping通kali

先使用如下语句查看规则

iptables -L

使用以下指令使kali不接受icmp的数据包

iptables -A INPUT -p icmp -j DROP

然后再次通过iptables -L查看规则，发现多了一条icmp针对任何位置不允许访问的规则，即在INPUT链中添加将所以有ping连接产生的icmp数据包丢失的规则

 再次通过SEED ping kali，发现ping不通了

 

 kali执行以下指令除去刚才的过滤规则，再次尝试ping连接发现恢复

iptables -D INPUT -p icmp -j DROP

1.2只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问

首先，我们确定两台机器都可以进行telnet登陆

接下来使用iptables -P INPUT DROP指令拒绝一切的数据包流入（修改的是默认规则-P），此时应该两台电脑都无法进行访问。

使用指令iptables -A INPUT -p tcp -s 192.168.200.6 -j ACCEPT开启192.168.200.2对本机的tcp服务。并用iptables -L查看规则

此时我们发现Kali是可以正常访问telnet服务的，但是winXP却是无法访问的

2、动手实践：Snort
2.1使用Snort对给定pcap文件进行入侵检测，并对检测出的攻击进行说明。

snort -r /home/kali/listen.pcap -c /etc/snort/snort.conf -K ascii

使用命令查看生成的数据文件

cat snort.alert.fast

3、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

在蜜网网关中输入su -进行提权，输入vim /etc/init.d/rc.firewall，查看防火墙文件

可以看到黑名单、白名单）和保护名单的规则链。获取IPTables的实际规则列表、Snort和Snort_inline的实际执行参数。
输入iptables -L查看规则列表

输入vim /etc/init.d/snortd，查看snort包含实际运行的参数的脚本文件

执行命令 vim /etc/init.d/hw-snort_inline 打开snort_inline包含实际执行的参数的脚本文件 

 输入chkconfig --list即可查看哪些是自启动的，如果从0到6全是off，那就不自启动。
chkconfig --list | grep iptable，chkconfig --list | grep snort。

输入vim /etc/honeywall.conf，查看升级规则默认为不更新。

三、学习中遇到的问题及解决

Q1：ping不通或者网络连接不上。

A1：将电脑插上网线

Q2：snort无法使用

A2：利用update命令无法升级，再卸掉重新安装

四、实践总结

防火墙和入侵检测有助于防御者采取针对性的防御措施，以最小的成本应对最大程度的威胁。

kali系统的命令语句，非常繁琐，平时需要强加练习