20242943 2024-2025-2 《网络攻防实践》实践五报告

一.实践内容

本次实验包括三个内容。第一是防火墙的配置。配置Linux操作系统上的iptables，使其过滤掉ICMP数据包，使得主机不接收Ping包；只允许特定IP地址访问主机的某一网络服务，而其他的IP地址无法访问。第二是动手实践Snort工具。使用Snort对给定pcap文件进行入侵检测，获得报警日志，并对检测出的报警日志进行说明。第三是分析配置规则。分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则。

二.实践过程

1.防火墙配置。

（1）首先查看规则的显示，输入的命令为sudo iptables -L。可以看到现在没有任何的规则。

（2）过滤ICMP数据包。在kali主机上配置防火墙，使得主机不接受ping包，kali IP：192.168.25.128。
①先使用WinX主机ping一下kali机，此时是可以ping通的。

②在kali主机上配置防火墙，命令为sudo iptables -A INPUT -p icmp -j DROP。然后再次输入命令sudo iptables -L，可以看到在规则中已经添加了一条命令。

③此时再用WinX去ping kali，已经无法ping通了。

④然后利用命令sudo iptables -D INPUT -p icmp -j DROP删除这条规则，又可以ping通了。


（3）设置只允许特定IP地址访问主机的某一网络服务，而其他的IP地址无法访问。Metasploitable IP：192.168.25.132。
①先使用kali和WinX访问Metasploitable，此时都是可以访问成功的。


②在Metasploitable添加规则，命令为sudo iptables -P INPUT DROP。

③此时两台主机都无法再访问Metasploitable了。


④只允许特定的IP地址，访问主机的某一服务。命令为sudo iptables -A INPUT -p tcp -s 192.168.25.128 -j ACCEPT。

⑤此时只有kali可以访问Metasploitable，而WinX依然无法访问Metasploitable。

2.动手实践：Snort。

（1）使用Snort对listen.pcap文件进行入侵检测，命令是sudo snort -r /home/swt/listen.pcap -c /etc/snort/snort.lua -A alert_full，其中/home/swt/listen.pcap是listen.pcap文件的路径，而/etc/snort/snort.lua是snort.lua文件的路径。
（2）可以看到解码后的数据流的组成，其中绝大多数的数据包都tcp包，占比为99.95%，其余为discards包(0.033%)，arp包(0.015%)，udp包(0.002%)。还可以看到有58条的报警数据包。

（3）以及数据流统计等信息。

（4）然后直接查看报警文件。发现主要为一些源地址为172.31.4.178的主机对目标地址172.31.4.188的主机进行nmap扫描，包括一些tcp请求等等。

3.分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则。

（1）分析防火墙。输入命令su -进入root模式，再输入命令vim /etc/init.d/rc.firewall。
①在create_chains函数中，可以在里面看到黑名单、白名单和保护名单，黑名单所包含的即被禁止访问的主机，白名单所包含的是完全可信的主机。

②协议包的规则链。

③默认规则、本地规则、管理规则。

④主函数。在主函数中根据以上规则过滤数据包

（2）分析IlPTables。输入命令iptables -t filter -L | less，可以看到INPUT、FORWARD、OUTPUT都处于关闭状态。


（3）查看snort执行参数。
①输入命令vim /etc/init.d/snortd，此下显示的是snort的规则。

②输入命令vim /etc/init.d/hw-snort_inline，查看Snort_inline实际执行参数。其中，c表示读取config文件，D表示Daemon模式，Q表示QUEUE模式，l表示输出log文件的目录，t表示改变程序执行时所参考的根目录位置。

（4）输入命令chkconfig --list | grep iptable，可以查看哪些服务是启动的，0~6分别表示关机、单用户模式、无网络连接的多用户命令行模式、有网络连接的多用户命令行模式、不可用、带图形界面的多用户模式、重新启动。

（4）输入命令vim /etc/honeywall.conf，可以查看到升级规则默认为不更新。

三.学习中遇到的问题及解决

• 问题1：实验二中pcap文件中的报警文件信息无法输出到命令行当中。
• 问题1解决方案：需要修改一下snort工具中的snort.lua文件。打开snort.lua文件，下拉找到其第七个模块configure outputs，去掉alert_fast函数前的注释，并在函数中加入一条语句：file=true，表示输出到文件。然后报警信息就可以输出到命令行当中了。
  
  

四.实践总结

本次网络安全防范技术实验包括了三个主要部分：防火墙的配置、使用Snort对pcap文件进行入侵检测以及分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则。这些内容涵盖了现代网络安全防护的关键技术，可以帮助我们更好地理解和应对网络安全的威胁。

首先，防火墙的配置是网络安全防护的基本技术之一。通过配置防火墙，我们可以对进出网络的流量进行控制，设定允许或阻止的规则，从而有效地防止不明来源的流量侵入网络。在实验中，我们通过配置防火墙规则，学习了设置防护措施的方法，提升了对网络流量的控制能力。

第二部分实验内容是使用Snort对pcap文件进行入侵检测。在实验中，我们使用Snort对pcap文件进行分析，学习了如何使用Snort工具进行流量的检测和报警。这部分实验让我们更加深入地理解了网络入侵检测的原理，并学会了如何借助Snort等工具检测网络中的异常活动。

最后，分析虚拟网络攻防环境中的蜜网网关的防火墙和IDS/IPS配置规则，帮助我们了解了在实际网络环境中如何部署多层防护机制。实验中我们通过分析蜜网网关的防火墙规则及IDS/IPS配置，了解了如何利用多种防护手段来提升网络的安全性。

通过此次实验，我学习了网络安全防范技术的应用，也了解了它的重要性。无论是防火墙的配置、入侵检测还是综合防护策略，都对防范网络攻击和保护数据安全起着至关重要的作用。在未来的网络安全工作中，这些技能都将是防护网络安全的重要基础。