20222944 2022-2023-2 《网络攻防实践》第6周作业

最新推荐文章于 2024-06-01 13:53:21 发布
最新推荐文章于 2024-06-01 13:53:21 发布
阅读量168 收藏
点赞数
文章标签: 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42400964/article/details/129830507
版权

1.实践内容

1.1防火墙配置

任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问

1.2动手实践:Snort

使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在学习通中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。

Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)

1.3分析配置规则

分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
作业要求:需要包括以下几点

2.实践过程

实践环境:实践一中配置的蜜网环境
开启蜜网环境中的网关、Kali Linux攻击机、winXP攻击机、SEED ubuntu虚拟机。

蜜网的账户名roo,密码honey 密网提权输入命令su -
XP攻击机的密码为mima1234
Linux攻击机的用户名和密码为:kali/kali
Ubuntu的管理员密码为dees
Linux靶机的用户和密码为:msfadmin/msfadmin 提权输入命令sudo su

攻击机和靶机的IP地址如下:
ipconfig命令查看XP攻击机的IP地址为:192.168.200.5
ifconfig命令查看Ubuntu 的 IP地址为:192.168.200.9
ifconfig命令查看Kali Linux攻击机的IP地址为:192.168.200.6
ifconfig命令查看Linux靶机的IP地址为:192.168.200.123

2.1 防火墙的配置

2.1.1 IPTables规则列表的显示

在Kali Linux攻击机中,用sudo su切换到root,运行命令iptables -L,查看防火墙的配置情况。
在这里插入图片描述
可见,Kali Linux靶机没有任何的防火墙措施。

2.1.2 过滤ICMP数据包

在xp攻击机中ping一下这个靶机,能够正常ping通。
在这里插入图片描述

在Kali Linux攻击机中添加过滤icmp数据包的规则。
iptables -A INPUT -p icmp -j DROP
再次查看防火墙的配置。
在这里插入图片描述

可以看到多出了一条规则。
再次尝试ping一下Kali Linux攻击机,发现不能ping通了。
在这里插入图片描述
在Kali Linux攻击机中运行命令iptables -D INPUT -p icmp -j DROP,删除这条规则。

删除后重新Ping通了。
在这里插入图片描述

2.1.3 特定IP地址访问主机

在XP攻击机输入telnet 192.168.200.123(Linux靶机的IP地址)在Kali Linux攻击机输入telnet 192.168.200.123(Linux靶机的IP地址)
在Kali Linux攻击机输入telnet 192.168.200.123(Linux靶机的IP地址)
在这里插入图片描述
此时XP攻击机和Kali Linux攻击机都可以访问linux靶机

在linux靶机中输入iptables -P INPUT DROP
(可以通过命令iptables -D INPUT -p icmp -j DROP或 iptables -F删除操作)

再次在XP攻击机和Kali Linux攻击机输入telnet 192.168.200.123(Linux靶机的IP地址)
在这里插入图片描述
在这里插入图片描述
此时XP攻击机和Kali Linux攻击机都无法访问linux靶机

然后在linux靶机中输入iptables -A INPUT -p tcp -s 192.168.200.6 -j ACCEPT
(允许IP地址为192.168.200.6也就是Kali Linux攻击机的IP地址对目标主机发送TCP数据包)
然后输入iptables -L
在这里插入图片描述
然后在Kali Linux攻击机中输入telnet 192.168.200.123

此时Kali Linux攻击机是可以连接的。

在XP攻击机中输入telnet 192.168.200.123
在这里插入图片描述
XP仍不能连接。

2.1.4 静态包过滤与报文状态检查(动态包过滤)

静态包过滤
允许链接目标地址为192.168.200.7,当前状态为NEW的网络可以通过防火墙转发。
在kali攻击机中输入iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT (当数据包源IP地址属于192.168.0.0/24 - C类网段,执行目标操作ACCEPT)
在这里插入图片描述
动态包过滤
允许连接目标地址为192.168.200.7,当前状态为NEW的网络连接可通过防火墙转发。
在kali攻击机中输入iptables -t filter -A FORWARD -d 192.168.200.7 -m state --state NEW -j ACCEPT (192.168.200.9 是Ubuntu的IP地址)
在这里插入图片描述
允许已建立网络连接和相关网络连接通过防火墙。
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
在这里插入图片描述

2.1.5 SNAT机制与DNAT机制的实现

将通过路由转发的网络连接的源IP地址修改为1.2.3.4
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
在这里插入图片描述

将通过路由转发的网络连接的目的地址修改为1.2.3.4
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 1.2.3.4

2.2 Snort入侵检测

在kali中运行
snort -r /home/tad/桌面/listen.pcap -c /etc/snort/snort.conf -K ascii
也可在listen.pcap所在的文件夹下打开终端输入并运行指令
snort -r /home/tad/桌面/listen.pcap -c /etc/snort/snort.conf -K ascii

这里说明一下snort的命令
-r Read and process tcpdump file 读取tcpdump格式的文件

-c Use Rules File 用于指明所使用的规则集 snort.conf。这是最常用的选项,用来指定配置文件snort.conf的位置。如果执行该选项,Snort就会去指定路径寻找snort.conf文件。例如,如果snort.conf文件在/etc目录中,我们要用命令行选项“-c /etc/snort.conf”来启动Snort。

-K Logging mode (pcap[default],ascii,none) 指定了记录的格式,默认是 Tcpdump 格式,此处使用 ASCII 码。

在这里插入图片描述
在这里插入图片描述

通过vim /var/log/snort 命令打开snort日志

在这里插入图片描述
点击alert
在这里插入图片描述
第一,二,四条是攻击者(172.31.4.178)向靶机(172.31.4.188)发送一个通过TCP协议进行的SNMP AgentX请求
第三条是攻击者(172.31.4.178)使用nmap扫描了靶机(172.31.4.188)。Snort分析这一攻击举动,向防御者报告了“信息泄露”这一风险。
这四条都被归类到 企图泄露信息“”
第五条攻击者(172.31.4.178)用来自多个客户端的大量连接请求淹没 MSTREAM 处理程序,使靶机(172.31.4.188)不堪重负并导致其变得不可用。

2.3 分析蜜网网关的配置规则

在Kali Linux的浏览器中输入https://192.168.200.8,进入蜜网网关的图形化管理界面,输入账号、密码登录进去。(密码修改过,建议看看实践一,,密码是大小写加字母加标点符号)
在这里插入图片描述
选择“System Admin”选项卡,在左侧的“Administration Menu”栏中选择“System Status”选项树下的“Firewall Rules”,即可查看这个蜜网网关使用的防火墙规则信息。
在这里插入图片描述
单击“Snort Alerts”,可以看到该蜜网网关今天的入侵检测预警记录
在这里插入图片描述

3.学习中遇到的问题及解决

运行snort -r /home/tad/桌面/listen.pcap -c /etc/snort/snort.conf -K ascii时出错
在这里插入图片描述
原因:把-c /etc/snort/snort.conf 看成-c /etc/snort/snort/conf
为此搜集一些snort资料学习snort命令,学习-c的命令组成。还为此新建一个conf文件

4.学习感想和体会

防火墙是网络安全的重要组成部分,可以通过配置防火墙规则来限制网络流量和保护计算机。通过实践,我了解了如何配置Linux系统上的防火墙,如何阻止Ping包和限制IP地址访问某些网络服务。此外,我还学习了如何使用iptables和Windows个人防火墙来控制网络流量和保护主机。

入侵检测是网络安全的另一个重要方面,可以用来发现和报告网络攻击。通过使用Snort进行入侵检测,我了解了如何使用Snort来读取离线的pcap文件,并在snort.conf中配置报警日志文件。我还学习了如何指定报警日志log目录,并对检测出的攻击进行说明。这些技能对于进一步学习入侵检测和网络安全方面的知识非常有用。

最后,通过分析配置规则,我了解了蜜网网关如何利用防火墙和入侵检测技术来完成攻击数据捕获和控制需求。在蜜网网关中,可以使用防火墙来限制网络流量,从而保护受攻击的靶机。

参考资料

  1. snort使用手册IBM
  2. Snort命令行参数
  3. 入侵检测软件Snort的使用实验
weixin_42400964
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SXU-网络攻防2022-2023学年第一学期期末考试题
12-28
山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学...
Snort入侵检测系统简介
Nicholas的专栏
02-18 5231
前言 防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 实验目的 1.掌握snortIDS工作机理   2.应用snort三种方式工作   3.熟练编写snort规则 Snort IDS 概述 Snort IDS(入侵检测系统)是一个强大的网络入侵检测...
【深圳大学网络安全】实验六 入侵检测实验
归忆_AC的博客
01-30 943
Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。IP长度为20,IP载荷是84字节。
入侵检测:IDS-snort的安装配置及pcap规则编写思路
KEY0NE的个人博客
03-29 1584
介绍windows环境下的snort安装和配置,主要是为了下面写snort规则和验证规则做铺垫下载安装官网下载:https://www.snort.org/直接默认安装进入安装目录:C:\Snort配置文件编辑C:\Snort\etc\snort.conf 修改成如下图# Path to your rules files (this can be a relati...
snort本地pcap包检测
守望者的博客
12-04 3574
环境需求:snort和barnyard2(呈现) 本机Linux系统,直接启用snort本地包指令(可用snort  --help查询):snort -r 路径 开启barnyard2呈现 虚拟机模式(感谢森哥提供的虚拟机):配置好snort和barnyard2的虚拟机(这里是用的centos) 1、更改网卡设置,新建一个仅主机模式的虚拟机网卡(注意ip配置) 2、启动ssh服务:进去后
网络安全实验snort实现高级IDS
weixin_52553215的博客
02-01 1200
加深理解:我们说理解/etc/snort/sid-msg.map这个文件的意义非常重要,实体signature表示的是报警信息列表规范化,即将报警事件信息按规则编号(sig_id)、规则描述(sig_name)、规则分类编号(sig_class_id)规则优先级(sig_priority)规则版本号(sig_rev),规则在snort中的内部编号(sig_sid;根据上面命令执行结果会在/var/log/snort/目录下生成报警文件,大家可以看到报警文件格式都是snort.log.时间戳。
20221915 2022-2023-2 《网络攻防实践实践六报告
Chris's blog
04-12 288
20221915 2022-2023-2 《网络攻防实践实践六报告
SXU-2022-2023第一学期网络攻防期末考试答案(个人版,99.8分).pdf
12-31
山西大学2022-2023第一学期网络攻防期末考试答案 此答案为本人考试时亲自实操完成,99.8分
SXU-网络攻防第六次作业-sql注入进阶
12-27
山西大学网络攻防第六次作业——sql注入进阶 把test靶场中的报错注入,时间注入,堆叠注入,宽子节注入进行练习.这四个注入在127.0.0.1/test/sql/路径下﹒按破解步骤进行,至少做到爆表名这一步﹒每个步骤都要按考试...
SXU-网络攻防第7次作业-文件上传
12-27
山西大学网络攻防第7次作业——文件上传 自己试一下今天上课讲的五种文件上传方式,文件截断绕过攻击可以不做,把步骤截图保存到文档 1. 文件上传 2. JS检测绕过攻击 3. 文件后缀绕过攻击 4. 文件类型绕过攻击 5. 图...
案例2-2022年xx网络安全攻防演习防守方总结报告.pdf
08-26
网络安全攻防演习防守方总结报告
实验9-10 在Windows下搭建入侵检测平台
YkingH的博客
04-28 3537
掌握在Windows中搭建基于snort的入侵检测系统(IDS),熟悉简单的配置方法,能够使用IDS检测并分析网络中的数据流。Snort是一个强大的基于误用检测的轻量级网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。
《计算机网络实验报告——使用SNORT观察网络数据包和TCP连接
无限迭代中......
06-16 2012
实验名称:使用SNORT观察网络数据包和TCP连接 实验地点: 所使用的工具软件及环境: Windows ,snort、winpcap 一、实验目的: 通过本实验,熟悉SNORT的使用,通过抓包分析,进一步加深对协议工作过程的理解。 二、实验内容: 学会安装使用自由软件SNORT 截获以太网数据包,并分析和描述TCP连接的三个阶段。 截获A...
Linux防火墙之iptables(二)
lxplxplike的博客
05-26 957
在Internet中发布位于局域网内的服务器。
I2C SPI UART TCP/UDP AD/DA PWM大总结
芯心智库
05-26 797
那么当处理器输出的是全0则外部测量的电压是0V,输出全1则外部测量电压是5V,如果0/1各一半则是输出2.5V,如此只要控制0/1的比例就可以控制电压的输出了。V1是待测的电压,V0是比较器的输出电压,两者会进入比较器,直到结果V0大于V1(注意是大于,不是等于,这里会引入精度的概念),此时的计数值是D0~D7,可以表示此时的电压数值的水平。UART就比较特殊点了,它是异步通信(无CLK进行同步,有CLK的就是USART),全双工,有两根数据线,一根是RX一根是TX。
Java网络编程(上)
最新发布
qq_34471880的博客
06-01 815
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
weixin_46970383的博客
05-30 298
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
note-网络是怎样连接的4 接入网和网络运营商
qq_42783188的博客
05-29 413
在BAS和运营商路由器之间的ADSL/FTTH接入服务商的网络中建立隧道,把用户到BAS的接入网连接起来,形成一条从用户一直到运营商路由器的通道。这些状况不是稳定出现的。一方路由器让相连的运营商的路由器告知路由信息后,就能知道对方路由器连接的所有网络,把这些信息写入自己的路由表中,就能向那些网络发送包了。运营商之间的路由交换是在特定路由器间一对一进行的,运营商可以只将路由信息提供给交了费的运营商,没交费的运营商无法将网络包发送过来。Modem产生的信号是以一定期振动的波,振动的起始位置不同,波形就不同。
解密网络流量监控:优化IT运维的利器
Johnstons的博客
05-29 340
通过实时监测和分析网络流量,管理员可以及时发现并解决网络问题,确保业务的顺畅进行。作为一名资深网络工程师,我将分享一些关于网络流量监控的重要知识,并探讨如何在IT运维中运用这一工具优化网络性能,确保业务的顺畅进行。网络流量监控是指对网络中的数据流进行实时监测和分析,以了解网络使用情况、性能状况和潜在问题。通过网络流量监控,可以及时发现网络拥塞、异常流量和安全威胁,帮助管理员快速做出反应,保障网络的稳定运行。定期对监控数据进行分析,发现网络性能问题的潜在原因,并采取相应的优化措施,从而持续提升网络性能。
CVE-2023-3519
07-27
source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值