信息安全综合实验

《信息安全综合实验》由会员分享，可在线阅读，更多相关《信息安全综合实验（22页珍藏版）》请在装配图网上搜索。

1、信息安全综合实验 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望第一章防火墙原理及其基本配第一章防火墙原理及其基本配置置l课程目的学习包过滤防火墙基本原理简单理解Linux kernel 2.4.*中的netfilter/iptables框架熟悉iptables配置21.1 包过滤防火墙原理包过滤防火墙原理l包过滤型根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。外在表现：路由型、透明网桥型、混合型优点：性能高，对应

2、用透明，使用方便缺点：安全控制粒度不够细3包过滤防火墙包过滤防火墙l规则l条件 动作 序列l条件源地址、目的地址、协议、端口、协议内部数据、时间、物理接口l动作ACCEPT 允许DROP 直接丢弃REJECT tcp-reset/icmp-port-unreachableLOG 日志4包过滤防火墙包过滤防火墙l有先后关系l数据包的处理接收到数据包逐条对比规则如果满足条件，则进行相应的动作，如果动作不是ACCEPT/DROP/REJECT，继续处理后面的规则51.2 Linux Kernel中的包过滤中的包过滤防火墙防火墙lIpfw/ipfwadm2.0.*中使用移植于BSD的ipfw缺点：包过

3、滤、NAT等代码混杂在整个网络相关代码中lIpchains2.2.*中使用lNetfilter/iptables2.4.*http:/filter.org/模块化6Netfilter/iptableslNetfilter是Linux kernel 中对数据包进行处理的框架l定义了5个HOOK位置NF_IP_PRE_ROUTING NF_IP_LOCAL_IN NF_IP_FORWARD NF_IP_POST_ROUTING NF_IP_LOCAL_OUT75个个HOOK位置位置8netfilter结果结果lNF_ACCEPT:continue traversal as normal.lNF_D

4、ROP:drop the packet;dont continue traversal.lNF_STOLEN:Ive taken over the packet;dont continue traversal.lNF_QUEUE:queue the packet(usually for userspace handling).lNF_REPEAT:call this hook again.9NetfilterlIptables是netfilter上的应用程序lnat mangle filter10Netfilter/iptablesl可以实现完整的基于连接跟踪的包过滤防火墙l支持包过滤，双向地

5、址转换l一般是路由型的l使用ebtables中的bridge+nf patch可以表现为网桥型的http:/ iptables配置配置l包过滤INPUT/OUTPUT/FORWARD 三个规则链可以增加自定义规则链liptables N xxx命令格式iptables L nv 显示iptables F 规则链名 清空规则链iptables A 规则链名 规则 增加规则iptables I 规则链名 规则 插入规则iptables D 规则链名 规则 删除规则iptables D 规则链名 规则编号12包过滤包过滤l规则-j 动作.条件l动作为：ACCEPT 接受数据包DROP 丢弃数据包RE

6、TURN 从当前规则链返回LOG 日志，用dmesg可以看到REJECTSNAT/DNAT等13包过滤包过滤l条件l-s IP地址 源地址l-d IP地址 目的地址l-i 接口名 接收的接口l-o 接口名 发送的接口l-m state -state 状态 状态包过滤ESTABLISHED RELATED NEW INVALIDl-p tcp/udp/icmp/47 协议l-dport 目的端口l-sport 源端口14实验实验l建议编辑如下文件，命名为lipt，并用chmod a+x iptl每次试验时用命令./ipt执行，文件内容为l#!/bin/shlIPT=iptablesl$IPT F

7、l$IPT.l$IPT L nv15实验一实验一lIptables FlPing 127.0.0.1l执行如下命令l$IPT A INPUT j LOG s 127.0.0.1l$IPT A INPUT j DROP s 127.0.0.1lping 127.0.0.1看是否通？l用dmesg能看到什么？lIptables L nv 能看到什么？l为什么？16实验二实验二l让你的机器只能telnet 202.38.64.3(BBS)l$IPT A OUTPUT j ACCEPT d 202.38.64.3 p tcp dport 23l$IPT A OUTPUT j LOG l$IPT A O

8、UTPUT j DROPl$IPT A INPUT j ACCEPT s 202.38.64.3 p tcp m tcp-sport 23-dport 1024:65535!-synl$IPT A INPUT j LOG l$IPT A INPUT j DROP17实验三实验三l连接跟踪l文件/proc/net/ip_conntrack是否存在？l如果不存在，执行命令lmodprobe ip_conntrackl文件/proc/net/ip_conntrack的内容有什么？lmore/proc/net/ip_conntrackldmesg显示最多支持多少session?llsmod 增加了什么

9、模块18实验四实验四l让你的机器只能telnet 202.38.64.3(BBS)l$IPT A OUTPUT j ACCEPT d 202.38.64.3 p tcp-dport 23l$IPT A OUTPUT j LOG l$IPT A OUTPUT j DROPl$IPT A INPUT j ACCEPT m state-state ESTABLISHED,RELATEDl$IPT A INPUT j LOG l$IPT A INPUT j DROP19实验五实验五l让你的机器只能ftp 202.38.64.40l$IPT A OUTPUT j ACCEPT m state-state

10、 ESTABLISHED,RELATEDl$IPT A OUTPUT j ACCEPT d 202.38.64.40 p tcp-dport 21l$IPT A OUTPUT j LOG l$IPT A OUTPUT j DROPl$IPT A INPUT j ACCEPT m state-state ESTABLISHED,RELATEDl$IPT A INPUT j LOG l$IPT A INPUT j DROP20实验五实验五l以上设置，只能登录，无法使用列目录等操作l用命令modprobe ip_conntrack_ftp加载ftp对应的连接跟踪模块后再进行一次实验21实验脚本实验脚本lhttp:/202.38.64.40/james/nms/lab01.tarlwget http:/202.38.64.40/james/nms/lab01.tarltar xvf lab01.tarlcd lab0122