1.实验目的
通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,熟悉网络设备的安全特性。能够熟练使用设备完成检测多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。 2.实验内容
1)首先应了解各种攻击的原理和实现方法。
2)熟悉各种不同的攻击模拟软件的使用方法。
里德伯常数3)将本小组的网络拓扑结构连接成图11.1所示形式。
图11.1 实验时的拓扑结构
注意:为了便于观察实验数据,建议直接将本小组的一台终端连接到路由的WAN口1(标识为WAN/LAN,代号是E0/1),另一台连接到WAN口2(标识为WAN/LAN,代号是E0/2)。也可以通过交换机连接多台终端作为攻击方。
4)阶段任务一:ICMP Flood攻击防范
在连接内部网络的接口上应用攻击防范策略,再利用作为攻击方的终端进行洪泛攻击,在路由上观察策略的有效性。具体设置可参考帮助文档“H3C MSR 系列路由器配置指导”中的相关章节。如图11.2~11.3所示。 注意:攻击方可以Kali(或BT5)系统中自带的hping2/hping3程序进行洪泛攻击模拟,也可以使用其他的DoS工具(如LOIC)。具体的操作方法和格式,请参见本实验附录说明。
图11.2 配置指导文档
图11.3 配置指导说明
5)阶段任务二:SYN Flood攻击防范
在攻击端使用DoS攻击软件对内部站点进行攻击,查看刚才的策略是否还能够发挥作用。修改策略为SYN Flood防范策略,再次观察对DoS攻击的防范效果。
注意:DoS攻击需要获得对方的IP地址和端口号,可以在被攻击方的终端上使用netstat命令进行本机正在运行的进程的端口查询,具体的操作方法和格式,请使用netstat /? 查阅,如图11.4示例。
Chinese go to publc wc
图11.4 查询本机端口情况
在攻击进行后,也可以使用netstat命令查看被攻击方修改端口及进程的变化情况。
应收账款周转率
6)阶段任务三:UDP Flood攻击防范
实施过程类似任务二,更换发包软件发送UDP包实施攻击,也需要事先查询对方的IP地址和端口号。
7)在实施每个阶段的任务时,都需要开启路由的流量监测功能,并在每次攻击实施前和实施后,
查看路由相关端口上的流量变化,并做好记录以便于后期分析。
爱像一颗子弹3.实验报告要求
1)针对以上实验要求(目的、步骤等),在报告中明确描述对各部分要求的完成情况,报告中同
时需提供实验时的拓扑结构图(须自行绘制,不得抄袭指导材料或他人),同时需将实验中的各种现象、问题及结论等在报告中清晰反映(需提供实验截图和相应注解),并应以图示的方法表述实验中网络的划分情况,各设备的连接情况等,并最终做出实验总结。
2)实验为分组完成,每组最多3位同学;实验报告以小组为单位独立完成,不同组的报告不得
完全相同,违规者将按抄袭处理。
3)实验报告封面参照附件格式,且应将红文字部分改为每次实验的实际内容。
4) 实验报告应在规定时间内上交,且上交内容包括打印稿和电子稿。
4.配置举例
注意,以下例子会因设备不同、设置不同而有不同的结果或反馈,因此在实验时不会出现完全一致的
结果。此外,以下步骤间没有先后的次序关系,各例子之间相互独立。
1)防范外部网络对内部网络主机的Smurf攻击和扫描攻击。
<Device> system-view
[Router] attack-defense policy 1 // 创建攻击防范策略1
[Router-attack-defense-policy-1] signature-detect smurf enable // 开启Smurf攻击防范
[Router-attack-defense-policy-1] defense scan enable // 使能扫描攻击防范
[Router-attack-defense-policy-1] defense scan max-rate 4500 // 配置启动扫描攻击防范的连接速率阈
值为4500
[Router-attack-defense-policy-1] defense scan add-to-blacklist // 将扫描攻击防范检测到的源IP地址
加入黑名单
漫画廊[Router-attack-defense-policy-1] quit
[Router] interface ethernet 1/2
[Router-Ethernet1/2] attack-defense apply policy 1 // 在接口Ethernet1/2上应用防范策略1
[Router-GigabitEthernet1/2] quit
2)防范外部网络对IP地址为10.1.1.2内部服务器的SYN Flood攻击。
东方魔液[Router] attack-defense policy 2
[Router-attack-defense-policy-2] defense syn-flood enable // 使能SYN Flood攻击防范
[Router-attack-defense-policy-2] defense syn-flood ip 10.1.1.2 rate-threshold high 5000 low 1000 // 触
发阈值为5000,恢复阈值为1000
[Router-attack-defense-policy-2] defense syn-flood action drop-packet // 发现SYN Flood攻击后,对
后续报文进行丢弃处理[Router-attack-defense-policy-2] quit
[Router] interface ethernet 1/3
[Router-Ethernet1/3] attack-defense apply policy 2
[Router-Ethernet1/3] quit
3)配置流量统计功能,对出方向的流量进行统计和监测,并配合UDP Flood攻击防范来防范外
网对内部服务器的攻击。
<Router> system-view
[Router] attack-defense policy 1
[Router-attack-defense-policy-1] defense udp-flood enable // 开启UDP Flood攻击防范
[Router-attack-defense-policy-1] defense udp-flood rate-threshold high 100 // 启动UDP Flood攻击的
全局触发阈值为每秒100
个报文[Router-attack-defense-policy-1] defense udp-flood action drop-packet // 发现UDP Flood攻击后,后
续报文进行丢弃处理[Router-attack-defense-policy-1] quit
[Router] interface ethernet 1/1
[Router-Ethernet1/1] attack-defense apply policy 1
[Router-Ethernet1/1] flow-statistic enable outbound // 在出方向上使能流量统计功能
[Router-Ethernet1/1] flow-statistic enable destination-ip // 开启基于报文目的IP地址的流量统计功能
附录:Flooding及Dos攻击的相关说明
1. Kali的配置与初步使用
1)打开VMware Workstation,并创建新虚拟机,然后打开Kali镜像。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议