20232807 2023-2024-2 《网络攻防实践》实践5报告

最新推荐文章于 2024-07-06 16:00:29 发布
最新推荐文章于 2024-07-06 16:00:29 发布
阅读量587 收藏 9
点赞数 15
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44659701/article/details/137650103
版权

一、实践内容

1、防火墙配置(IP地址仅供参考,以实际为准)
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
2、动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在学习通中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。

Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
3、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

二、实践过程

1、防火墙配置
首先打开kali虚拟机,输入iptables -L查看规则,可以看到当前没有任何规则
在这里插入图片描述
打开WinXP攻击机,使用ping命令检查雨kali的连通性
在这里插入图片描述

(1)过滤ICMP数据包,使得主机不接收Ping包

在kali机上输入sudo iptables -A INPUT -p ICMP -j DROP配置防火墙,把ICMP包过滤掉,再使用iptables -L查看规则
在这里插入图片描述
在这里插入图片描述
再在WinXP虚拟机上ping kali主机,发现无法ping通
在这里插入图片描述
在kali虚拟机上输入sudo iptables -D INPUT -p icmp -j DROP删去过滤icmp包,发现winXP能够再次ping通kali主机
在这里插入图片描述
在这里插入图片描述

(2)只允许特定IP地址,访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址无法访问

打开metasploitable,查看其ip地址,为192.168.200.123
在这里插入图片描述
winXP和kali都能通过telnet与metaploitable连接
在这里插入图片描述
在这里插入图片描述
在metasploitable中输入iptables -P INPUT DROP来禁止所有输入数据包

在这里插入图片描述
发现winXP和kali都无法访问metaploitable
在这里插入图片描述
在这里插入图片描述
回到metasploitable通过命令iptables -A INPUT -p tcp -s 192.168.200.4 -j ACCEPT来开启kali虚拟机tcp服务,可以使用iptables -L查看
在这里插入图片描述
此时kali能访问metapliotable,而winXP不能访问
在这里插入图片描述
在这里插入图片描述
最后,在Ubuntu中输入命令 iptables -F 和 iptables -P INPUT ACCEPT,恢复最初的状态。
在这里插入图片描述
此时winXP也能访问metaploitable了
在这里插入图片描述

2、动手实践:Snort

使用Snort对给定pcap文件进行入侵检测,并对检测出的攻击进行说明。打开kali,运行sudo snort -c /etc/snort/snort.conf -r listen.pcap -K ascii,这里ascii是用来指定输出日志文件的为ASCII编码。

在这里插入图片描述斜体样式
可以看到绝大多数的数据包都是tcp包,还有一部分的arp,报警数据有10条,被日志记录。
所有的流量统计有6万多条,其中大部分是TCP会话。

在这里插入图片描述
输入入cd /var/log/snort命令进入报警日志目录, vim alert查看日志文件
发现记录了报警数据10条的入侵检测信息,可以看到本次攻击主要是主机172.31.4.178对主机172.31.4.188的主机进行的nmap扫描
在这里插入图片描述
3、分析配置规则
具体分析配置规则:
防火墙(nefilter+IlPTables) : /etc/init.d/rc.firewall、入侵检测系统(Snort) : /etc/init.d/hflow_snort 与/etc/snort/snort.conf、入侵防御系统(Snort_ inline) : /etc/init./hflow-snort. inline 与/etc/snot._inline/snort_inline.conf。

打开蜜网网关虚拟机,使用命令vim /etc/init.d/rc.firewall,可以看到黑名单、白名单和防护名单三个链
在这里插入图片描述
使用命令iptables -t filter -L | more来查看规则列表。
在这里插入图片描述
使用chkconfig --list | grep [服务] 来查看服务开启,0~6分别表示关机、单用户模式、无网络连接的多用户命令行模式、有网络连接的多用户命令行模式、不可用、带图形界面的多用户模式、重新启动。
在这里插入图片描述

三、学习中遇到的问题及解决

问题1:在kali上无法使用snort
解决方案:在seedUbuntu上安装snort,可以继续后面的实验

四、实验总结

通过这次实验学习到了防火墙的配置,使用snort从pcap文件读取网络日志数据源以及虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,这次实验出现了一些问题,这也表明我的实践能力还有待加强。

20232807张哲
关注
  • 15
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
华中科技大学网络攻防实践相关
02-14
华中科技大学网络攻防实践相关
网络攻防实践_课程报告.zip
07-19
网络攻防实践_课程报告.zip
网络与系统攻防技术实验及实验报告
04-15 1282
将未知代码的签名特征与恶意代码库进行对比,搜索恶意代码库查找时候存在相匹配的恶意代码签名,若有吻合,则判定为恶意代码;反之则判断为正常代码。这种方法的思想是为病毒的特征设定一个阈值,扫描器分析文件时,当文件的总权值超出了设定值,就将其看作是恶意代码.这种方法主要的技术是要准确的定义类似病毒的特征,这依靠准确的模拟处理器。加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。
网络攻防技术实践-防火墙.doc
05-12
网络安全实验
网络攻防技术实践-NIDS.doc
05-12
网络安全技术实验
网络攻防技术与实践
11-17
网络攻防技术与实践》是一本面向网络安全技术初学者, 和相关专业学生的基础书籍,全面介绍了网络攻防的基本理论知识、技术, 方法和工具软件。在介绍每一部分网络攻防技术之后,通过一些自主设计, 和从社区借鉴的实践...
windows网络进阶之listen参数含义
m0_62681656的博客
07-02 803
在Windows网络编程中,在使用TCP时,listen函数它是一个重要的关键的步骤,使得套接字能够接收传入的连接请求,下面我主要通过实战案例讲解listen参数的含义。注:本章是一个进阶篇,前提是能够掌握基础windows网络编程概念。二、listen参数1.SOCKET s这是一个已绑定(通过bind函数)的套接字,作用用于接收客户端的连接请求。这个参数比较好理解,我们重点讲解第二个参数。挂起的连接队列的最大长度。
2023-2024华为ICT大赛中国区 实践网络赛道 全国总决赛 理论部分真题
gaogao0305的博客
07-02 571
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践网络赛道 理论部分考试真题,涵盖数通模块10题、安全模块7题、WLAN模块3题
Iperf基本用法
peterhunter0320的博客
07-04 310
Iperf支持TCP和UDP协议,可以用于点对点或客户端-服务器等模式的网络测试。在Windows系统中,您可以下载Iperf的预编译版本,并将其解压到任意文件夹中。以上是Iperf的一些基本用法,您可以根据实际需要调整各种参数来满足不同的测试需求。更多详细的使用方法和参数,您可以通过运行iperf3 -h命令来查看帮助文档。在Linux系统中,您可以使用包管理器安装Iperf。Iperf的使用非常灵活,可以通过命令行参数来调整测试的各种参数。iperf3 -c <服务器IP地址> -u -b 10M。
计算机网络
m0_65621281的博客
07-03 1108
为了保证传输的内容不被篡改,我们需要对内容计算出一个「指纹」,然后同内容一起传输给对方。对方收到后,先是对内容也计算出一个「指纹」,然后跟发送方发送的「指纹」做一个比较,如果「指纹」相同,说明内容没有被篡改,否则就可以判断出内容被篡改了。那么,在计算机里会用。
基于STM32设计的管道有害气体检测装置(ESP8266局域网)176
07-06 81
基于STM32设计的管道有害气体检测装置采用了一系列先进的传感器技术,针对多种有害气体进行检测,通过实时监测烟雾浓度、甲烷、一氧化碳、甲醛等有害气体的浓度以及温湿度等参数,并通过OLED显示和ESP8266上传数据至手机端,可以使相关工作人员及时了解管道环境的情况,采取相应的控制和调节措施,从而保障工作人员和公众的健康与安全。 为了确保传感器正常工作和数据的准确性,装置还引入了温湿度检测机制,因为气体传感器的性能受温湿度影响较大,适宜的温度和湿度条件能够确保传感器的稳定工作和数据准确性。
Linux:系统安全及应用
pangdongqiqi的博客
07-01 1243
通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登 录密码。例如,若要从zhangsan 用户切换为 root 用户,必须知道 root 用户的密码。对于生产环 境中的 Linux 服务器,每多一个人知道特权密码,其安全风险也就增加一分。有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将 root 用户的密码告诉他呢?答案是肯定的,使用 sudo命令就可以提升执行权限。
【计算机网络——1.2网络边缘】
2301_76758064的博客
07-03 823
流量阻塞控制:比如A和B互通,会走某条线路,C和D也会经过这条路,或者这条路的一部分,就很有可能阻塞,当信息量太大时,交换节点就会丢东西,信息就不完整,TCP检测线路阻塞情况,从而限值发送速率。其实就是端系统/主机,上面运行着分布式系统,那么这些运行的网络应用就是网络存在的理由,应用由端系统的基础设施(操作系统,硬件,实体协议,网络核心,包括对方主机的应用层下面的基础设施)支撑。不需要握手,直接发送,直接回应,不可靠(TCP的特性一个不占),但是效率高,应用一些不需要数据太准确方面(视频,语音)
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
最新发布
a15735748145a的博客
07-06 572
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
常见网络攻击方式及防御方法
2301_76786857的博客
07-04 920
网络攻击对个人、组织和整个社会都带来了严重的威胁,因此必须采取有效的安全措施来保护网络系统和用户的信息安全。
AVIO自定义读写
qq_54017644的博客
07-05 182
AVIO编程实战---极精简代码
back-end developer 后端开发的一些常识
wuxiaoyu0806的博客
07-03 654
当订单量增加时,你可以增加更多送货员(扩展容器),当某个送货员生病时,你可以立即派其他人顶替(自动恢复)。你有一本笔记本(Redis),记录了每种食物的库存情况(数据存储)。: 假设你在网上购物。浏览器会将你的订单信息(如商品名称、价格、数量)转换成JSON格式(打包成一个轻便的小包裹),然后发送给服务器。服务员(生产者)将订单(消息)放在一个传送带上(消息队列),你(消费者)从传送带上取下订单并制作食物。无论你搬到哪儿(不同的计算环境),只要打开箱子,里面的物品都能立刻使用,不需要重新整理(配置环境)。
【面试题】网络 IO多路复用模型 select
abclui的专栏
07-02 337
为什么要引入select模型呢 同步阻塞问题我们可以利用多线程 或者把socket改成非阻塞 当我们要接受数据的时候我们要来回查看接受缓冲区有没有数据这样我们就要来回切换用户和内核浪费时间降低效率 所以我们让一个把所有的socket的有无数据都看了呢。
【Linux】探索网络编程:TCP/UDP协议解析与Socket应用实例
Colorful___的博客
07-04 987
在现代信息技术飞速发展的今天,网络通信已经成为我们日常生活和工作中不可或缺的一部分。无论是通过电子邮件、社交媒体还是在线会议,网络通信都扮演着至关重要的角色。而在这背后,是复杂的网络协议和编程技术支撑着这一切的运行。本文旨在深入探讨网络编程的基础知识,特别是UDP和TCP这两种常用的传输层协议,以及它们在socket编程中的应用。通过本文,读者将能够理解源IP地址、目的IP地址、端口号等概念,并学习如何使用socket编程接口来创建网络应用程序。
2021实战攻防企业红蓝对抗实践指南-长亭.pdf
07-17
《2021实战攻防企业红蓝对抗实践指南-长亭.pdf》是一份关于红蓝对抗实践的指南文件。红蓝对抗是一种模拟真实攻击和防御的方法,旨在测试企业的安全性能和发现潜在漏洞。 该指南首先介绍了红蓝对抗实践的基本概念和目标。红队代表攻击方,利用各种技术手段和策略试图入侵企业系统,而蓝队则代表防御方,负责检测和阻止攻击,并进行相应的应对和修复措施。 接下来,指南详细解释了红蓝对抗实践的步骤和流程。其中包括情报收集,攻击路径规划,漏洞利用,权限提升,数据抓取等环节,通过逐步深入渗透,验证企业的安全性。 在红蓝对抗实践中,指南还提供了一些常用的攻击技术和实用工具的介绍,如渗透测试工具、漏洞扫描工具和安全分析工具等。同时,还给出了常见的安全防御策略和技术建议,如强化访问控制,加强日志监控和事件响应能力等。 此外,指南还强调了红蓝对抗实践的重要性,并提供了一些实战案例和经验分享,帮助企业更好地理解和应用红蓝对抗技术,提升自身的网络安全防御水平。 总之,《2021实战攻防企业红蓝对抗实践指南-长亭.pdf》是一份全面而实用的红蓝对抗实践指南,对于希望提升网络安全能力的企业和安全从业人员来说,具有很高的参考价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值