20231905 2023-2024-2 《网络攻防实践》实践报告

20231905 2023-2024-2 《网络攻防实践》实践报告

1.实践内容

一、防火墙配置（IP地址仅供参考，以实际为准）
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:
(1)过滤ICMP数据包，使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问

二、动手实践：Snort
使用Snort对给定pcap文件进行入侵检测，并对检测出的攻击进行说明。

三、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

2.实践过程

2.1 防火墙配置

使用命令：iptables -L，列出规则链中所有的规则进行查看，都是默认规则

查看kali的IP地址

使用ping命令检查seedUbuntu与kali虚拟机的连通，可以ping通

使用命令：iptables -A INPUT -p icmp -j DROP，配置过滤ICMP数据包的规则，-A:在指定链的末尾添加（append）一条新的规则;-P:指定要匹配的数据包协议类型;-j:指定要跳转的目标

并使用iptables -L查看规则，列出规则链中所有的规则进行查看，可看到已经添加成功

此时使用seedUbuntu对kali执行ping命令，发现无法连通

输入sudo iptables -D INPUT -p icmp -j DROP将这条规则删除

再次执行ping命令，又能够ping通了

kali和seedUbuntu两台虚拟机都能用telnet命令访问metasploitable（192.168.200.123）


在metasploitable中输入iptables -P INPUT DROP来禁止所有输入数据包，此时两台虚拟机都无法访问metasploitable。



此时输入iptables -A INPUT -p tcp -s 192.168.200.5 -j ACCEPT来允许kali虚拟机的数据包输入

此时kali虚拟机能够使用telnet命令进行访问。

但是seedUbuntu无法访问

然后再把metasploitable恢复原样。

2.2动手实践：Snort

Snort运行命令提示如下：
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）

使用命令snort -r listen.pcap -c /etc/snort/snort.conf -K ascii,可以看到检测到的数据包信息

报警数据10条：

数据流统计如图：

此时snort在默认目录生成一个日志文件，进入报警日志目录 cd /var/log/snort

2.3 分析配置规则

打开蜜网网关虚拟机，使用命令vim /etc/init.d/rc.firewall，可以看到黑名单、白名单和防护名单三个链（对于黑名单的主机：丢弃所有包，对于白名单的主机：接受并不记录，对于防护名单的主机：禁止其访问某些不希望被访问到的主机）

iptables -t filter -L | more来查看规则列表。

vim /etc/init.d/snortd打开Snort脚本文件

chkconfig --list|grep snort命令来对linux上运行的服务进行查询，可以发现NIDS的0~6都是off，说明是需要手动启动的，而防火墙和NIPS不全是off，是跟随系统启动的

用命令vim /etc/honeywall.conf打开配置文件,找到update variables，可以看到其值为no，表示不自动更新

3.学习中遇到的问题及解决

• 问题1：kali上仍然不好安装snort
• 问题1解决方案：仍然在seedUbuntu上实现

4.实践总结

主要是完成了防火墙的配置、入侵监测以及分析配置规则。通过本次实验，我对防火墙的使用原因、功能、不足都有了更加深刻的理解。