SEED-LABS Firewall Exploration Lab

最新推荐文章于 2024-07-24 08:30:35 发布
最新推荐文章于 2024-07-24 08:30:35 发布
阅读量3.4k 收藏 27
点赞数 3
文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43599063/article/details/126208690
版权

一、实验目的

这个实验的学习目标有两方面:学习防火墙如何工作,以及为网络建立一个简单的防火墙。学生们将首先实现一个简单的无状态包过滤防火墙,它检查数据包,并根据防火墙规则决定是否丢弃或转发数据包。通过这个实现任务,学生可以对防火墙的工作原理有基本的了解。
• Firewall
• Netfilter
• Loadable kernel module
• Using iptables to set up firewall rules
• Various applications of iptables

二、实验环境

在这里插入图片描述
1.去实验官网下载配置文件并在本地运行。
在这里插入图片描述

三、进行实验

Task 1: Implementing a Simple Firewall

在本任务中,我们将实现一种简单的包过滤类型的防火墙,它将检查每一个进出的包,并执行管理员设置的防火墙策略。因为包处理是在内核中完成的,所以过滤也必须在内核中完成。因此,实现这样的防火墙似乎需要我们修改Linux内核。在过去,这必须通过修改和重新构建内核来实现。现代Linux操作系统提供了几种新的机制来简化对包的操作,而无需重新构建内核映像。这两种机制是可加载内核模块(LKM)和Netfilter。

Task 1.A: Implement a Simple Kernel Module

LKM允许我们在运行时向内核添加一个新模块。这个新模块使我们能够扩展内核的功能,而无需重新构建内核,甚至无需重新启动计算机。防火墙的包过滤部分可以作为LKM来实现。在这个任务中,我们将熟悉LKM。
1.编译内核文件Makefile。
在这里插入图片描述

2.生成的内核模块在hello.ko中,可以进行查看删除模块。
在这里插入图片描述
3.把hello.ko插入到内核中,再开启一个窗口进行监控内核。
在这里插入图片描述

demsg -k -w

在这里插入图片描述
4.从内核中删除hello。
在这里插入图片描述
在这里插入图片描述

Task 1.B: Implement a Simple Firewall Using Netfilter

在这个任务中,我们将把我们的包过滤程序写成一个LKM,然后插入到内核内部的包处理路径中。
1.先测试网络,可以连上8.8.8.8.
在这里插入图片描述

2…运行实验中给定的内核程序,并插入到内核中。
在这里插入图片描述
在这里插入图片描述
3.测试结果。已经可以实现防火墙。
在这里插入图片描述
4.再实现两个钩子,可以实现以下功能:(1)防止其他计算机ping虚拟机;(2)防止其他计算机telnet到虚拟机。请实现两个不同的钩子函数,但将它们注册到同一个netfilter钩子。
我首先启动10.9.0.5容器。
在这里插入图片描述
在这里插入图片描述
结果表示可以实现ping和telnet。
5.

编写内核程序。这一步比较麻烦,我一开始在ping8.8.8.8是拦截的是UDP数据,在ping10.9.0.1是我们需要拦截icmp数据,在telnet10.9.0.1:23时需要拦截TCP数据,所以我们需要在原来程序的基础上在编写一个拦截TCP和ICMP的函数,最后再主函数里面运行即可。具体代码如下。

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <linux/icmp.h>
#include <linux/if_ether.h>
#include <linux/inet.h>


static struct nf_hook_ops hook1, hook2,hook3,hook4; 

//blocking ping 8.8.8.8
unsigned int blockUDP(void *priv, struct sk_buff *skb,
                       const struct nf_hook_state *state)
{
   struct iphdr *iph;
   struct udphdr *udph;

   u16  port   = 53;
   char ip[16] = "8.8.8.8";
   u32  ip_addr;

   if (!skb) return NF_ACCEPT;

   iph = ip_hdr(skb);
   // Convert the IPv4 address from dotted decimal to 32-bit binary
   in4_pton(ip, -1, (u8 *)&ip_addr, '\0', NULL);

   if (iph->protocol == IPPROTO_UDP) {
       udph = udp_hdr(skb);
       if (iph->daddr == ip_addr && ntohs(udph->dest) == port){
            printk(KERN_WARNING "*** Dropping %pI4 (UDP), port %d\n", &(iph->daddr), port);
            return NF_DROP;
        }
   }
   return NF_ACCEPT;
}
//blocking ping vm:10.9.0.1
unsigned int blockICMP(void *priv, struct sk_buff *skb,
                       const struct nf_hook_state *state)
{
   struct iphdr *iph;
   struct icmphdr *icmph;

   //u16  port   = 53;
   char ip[16] = "10.9.0.1";
   u32  ip_addr;

   if (!skb) return NF_ACCEPT;

   iph = ip_hdr(skb);
   // Convert the IPv4 address from dotted decimal to 32-bit binary
   in4_pton(ip, -1, (u8 *)&ip_addr, '\0', NULL);

   if (iph->protocol == IPPROTO_ICMP) {
       icmph = icmp_hdr(skb);
       if (iph->daddr == ip_addr && icmph->type==ICMP_ECHO){
            printk(KERN_WARNING "*** Dropping %pI4 (ICMP)\n", &(iph->daddr));
            return NF_DROP;
        }
   }
   return NF_ACCEPT;
}
//blcoking telnet 10.9.0.1:23
unsigned int blockTelnet(void *priv, struct sk_buff *skb,
                       const struct nf_hook_state *state)
{
   struct iphdr *iph;
   struct tcphdr *tcph;

   u16  port   = 23;
   char ip[16] = "10.9.0.1";
   u32  ip_addr;

   if (!skb) return NF_ACCEPT;

   iph = ip_hdr(skb);
   // Convert the IPv4 address from dotted decimal to 32-bit binary
   in4_pton(ip, -1, (u8 *)&ip_addr, '\0', NULL);

   if (iph->protocol == IPPROTO_TCP) {
       tcph = tcp_hdr(skb);
       if (iph->daddr == ip_addr && ntohs(tcph->dest) == port){
            printk(KERN_WARNING "*** Dropping %pI4 (Telnet), port %d\n", &(iph->daddr), port);
            return NF_DROP;
        }
   }
   return NF_ACCEPT;
}
unsigned int printInfo(void *priv, struct sk_buff *skb,
                 const struct nf_hook_state *state)
{
   struct iphdr *iph;
   char *hook;
   char *protocol;

   switch (state->hook){
     case NF_INET_LOCAL_IN:     hook = "LOCAL_IN";     break; 
     case NF_INET_LOCAL_OUT:    hook = "LOCAL_OUT";    break; 
     case NF_INET_PRE_ROUTING:  hook = "PRE_ROUTING";  break; 
     case NF_INET_POST_ROUTING: hook = "POST_ROUTING"; break; 
     case NF_INET_FORWARD:      hook = "FORWARD";      break; 
     default:                   hook = "IMPOSSIBLE";   break;
   }
   printk(KERN_INFO "*** %s\n", hook); // Print out the hook info

   iph = ip_hdr(skb);
   switch (iph->protocol){
     case IPPROTO_UDP:  protocol = "UDP";   break;
     case IPPROTO_TCP:  protocol = "TCP";   break;
     case IPPROTO_ICMP: protocol = "ICMP";  break;
     default:           protocol = "OTHER"; break;

   }
   // Print out the IP addresses and protocol
   printk(KERN_INFO "    %pI4  --> %pI4 (%s)\n", 
                    &(iph->saddr), &(iph->daddr), protocol);

   return NF_ACCEPT;
}


int registerFilter(void) {
   printk(KERN_INFO "Registering filters.\n");

   hook1.hook = printInfo;
   hook1.hooknum = NF_INET_LOCAL_OUT;
   hook1.pf = PF_INET;
   hook1.priority = NF_IP_PRI_FIRST;
   nf_register_net_hook(&init_net, &hook1);

   hook2.hook = blockUDP;
   hook2.hooknum = NF_INET_POST_ROUTING;
   hook2.pf = PF_INET;
   hook2.priority = NF_IP_PRI_FIRST;
   nf_register_net_hook(&init_net, &hook2);
   
   hook3.hook = blockICMP;
   hook3.hooknum = NF_INET_PRE_ROUTING;
   hook3.pf = PF_INET;
   hook3.priority = NF_IP_PRI_FIRST;
   nf_register_net_hook(&init_net, &hook3);
   
   hook4.hook = blockTelnet;
   hook4.hooknum = NF_INET_PRE_ROUTING;
   hook4.pf = PF_INET;
   hook4.priority = NF_IP_PRI_FIRST;
   nf_register_net_hook(&init_net, &hook4);

   return 0;
}

void removeFilter(void) {
   printk(KERN_INFO "The filters are being removed.\n");
   nf_unregister_net_hook(&init_net, &hook1);
   nf_unregister_net_hook(&init_net, &hook2);
   nf_unregister_net_hook(&init_net, &hook3);
   nf_unregister_net_hook(&init_net, &hook4);
}

module_init(registerFilter);
module_exit(removeFilter);

MODULE_LICENSE("GPL");

6.运行Makefile并插入到内核中去。
在这里插入图片描述
7.查看结果。
在这里插入图片描述
ping的结果表明所有icmp包均被防火墙拦截。
在这里插入图片描述
telnet结果表明所有TCP数据包也被防火墙拦截。

偶不是小明
关注
  • 3
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
实验十二 防火墙实验
qq_52192927的博客
05-19 327
防火墙
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
SEED-Lab) Linux Firewall Exploration Lab
lunan的博客
02-17 7759
SEED-Lab) Linux Firewall Exploration Lab 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录(SEED-Lab) Linux Firewall Exploration Lab一、实验目标二、实验原理三、实验过程Task 1: Using Firewall1、Prevent A from doing telnet to Machine B2、Prevent B from doing telnet to Machine A.3、P
seedlab:位于 shiyanlou.com 的雪城 SEED 实验室
06-13
seedlab License 本课程所涉及的实验来自,并在此基础上为适配网站环境进行修改,修改后的实验文档仍然遵循GNU Free Documentation License。 附版权声明: Copyright c 2006 - 2014 Wenliang Du, Syracuse University. The development of this document is/was funded by three grants from the US National Science Foundation: Awards No. 0231122 and 0618680 from TUES/CCLI and Award No. 1017771 from Trustworthy Computing. Permission is granted to copy, distribute and
【信息安全】seed-labs实验-Firewall Exploration Lab
可乐大牛的博客
02-16 3657
本实验主要就是基于LKM和Netfilter实现简单的防火墙,重点是后者。路由器是有两个ip的,一个是外网ip,一个是内网ip每一次做完实验,都要做好收尾工作(比如:模块装入之后,要记得移除;iptables命令设置完规则之后,要把对应规则删掉)
Linux防火墙实验(iptables)Linux Firewall Exploration Lab
CTFwp笔记1-rsa基本知识+共模攻击
08-30 2764
​   iptabels是与Linux内核集成的包过滤防火墙系统,软件的结构是。
SeedLab10: Linux Firewall Exploration Lab
Rachel_IS的博客
01-19 4489
防火墙的第一个Lab~ 工具: iptables Netfilter ssh隧道 Task 1 学会用iptables就行,全部防回去就行(狗头 要注意都是在主机A上配置 先在A上禁止A telnet B,-d指定目的IP 此时A的telnet请求会被丢弃 再在A上禁止B telnet A,-s指定源IP B的telnet请求被拒绝 禁止A访问www.baidu.com 百度有好多IP呢,所以iptables加了两个条目(应该还有更多,但只加了两个 打开火狐,防出去了 Task 2 要用ne
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
SeedLab-Software:我的SeedLab v2.0 Ubuntu 20.04软件部分的实验报告
04-16
SeedLab软件 我的SeedLab v2.0 Ubuntu 20.04软件部分的实验报告 实验室文档和设置: : 目录 缓冲区溢出攻击实验室(服务器版) 返回libc 环境变量 比赛条件+脏牛 格式字符串 光谱和熔毁
note-seed-labs:种子实验室笔记
03-14
网络安全种子实验室 打包发布 mkdocs build fab dev_upload
(SEED-Lab)Buffer Overflow Vulnerability Lab缓冲区溢出实验
lunan的博客
02-01 7287
(SEED-Lab)Buffer Overflow Vulnerability Lab 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2.1 环境初始化2.2 Task1 运行shellcode2.3漏洞程序2.4 Task 22.5 Task 3: ASLR2.6 Task 4: Stack Guard2.7 Task 5:不可执行栈三、参考文献 一、实验目的 理解缓冲区溢出攻击的原理以及如何实施攻击 理解针对缓冲区溢出的防御措施
SeedLab】Packet Sniffing and Spoofing Lab
cold_windx的博客
08-24 3647
本节实验要求:借助Scapy库,实现网络流量的捕获与伪造。
SEED Labs信息安全实验
热门推荐
红蓝联盟的博客
07-04 1万+
1.1  SEED Labs 介绍    SEED Labs是一套完整的信息安全实验,涵盖本科信息安全教学中的大部分基本原理,可用于提高学生体验式学习的实验室练习。项目组2002年由杜文亮教授创建,目前开发了30个实验,涵盖了各种计算机安全概念,原理和实践,几百所大学已采用。实验楼翻译制作的SEEDLabs在线实验课永久免费并开源。    SEED Labs网站:http://www.cis.sy...
防火墙的介绍实现与分类
大草的博客
07-28 2002
首先对防火墙进行介绍;然后自行实现一个简单的防火墙,以形成直观的印象;接着介绍了防火墙的三种分类:包过滤(非状态感知)防火墙、状态感知防火墙、应用/代理防火墙。最后介绍使用ssh隧道绕过防火墙。
SEED LABS初入
SiSong_Ru的博客
03-05 5503
SEED LABS初入及实验环境配置 1、什么是SEED LABS? SEED LABS是一系列的网络安全实验,其基本囊括了信息安全本科生所涉及到的几乎每个方面,例如软件安全,Web安全,密码学安全等。而每一个方面的实验又由好几个单独的实验组成: 每个实验均配套有相应的实验代码已经实验指导书,甚标注了实验难度,至还出有配套的实验视频,学生可以只有选择自己喜欢的实验内容来完成。 ...
MarkTool之TCP服务端
最新发布
Qt学视觉
07-24 162
MarkTool之TCP服务端
MySQL注入实战指南——Sqli-labs教程解析
"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南,特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册,旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值