第十周作业

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了第十周作业相关的知识,希望对你有一定的参考价值。

第十周作业内容:

系统的INPUT和OUTPUT默认策略为DROP,请完成以下关于iptables的题目;

1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;

问题分解:
①限制外部访问本地主机:                                          使用INPUT链
②限制访问web服务:                                                 使用基本规则匹配器,协议匹配   -p tcp 端口匹配 --dport 80
③限制周一不能访问:                                                 使用扩展规则匹配器,时间匹配   -m time --weekdays Mon
④限制新请求的速率不能超过100个每秒:                    使用扩展规则匹配器,速率匹配   -m limit --limit 100/second
⑤限制web服务器包含了admin字符串的页面被访问:  使用扩展规则匹配器,字符串匹配 -m string --algo kmp --string "admin" 注:匹配算法 --algo 【bm(Boyer-Moore算法,默认算法)/kmp(Knuth-Pratt-Morris算法,更为复杂)】
⑥允许微博服务器数据外发:                                        使用OUTPUT链
⑦仅允许响应报文:                                                      使用扩展规则匹配器,状态匹配   -m state --state ESTABLISED           注:【NEW:已经或将启动新的连接;INVALID:非法或无法识别的;ESTABLISHED:已建立的连接;RELATED:正在启动新连接】

#iptables -A INPUT -d 192.168.2.35 -p tcp --dport 80 -m time --weekdays Mon -m limit --limit 100/second -m string --algo kmp --string "admin" -j DROP
#iptables -A OUTPUT -m state --state ESTABLISED -j ACCEPT


2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;

问题分析:
FTP服务为主动式
客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始 监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。
针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:

(1)任何大于1024的端口到FTP服务器的21端口。(客户端初始化的连接)
(2)FTP服务器的21端口到大于1024的端口。 (服务器响应客户端的控制端口)
(3)FTP服务器的20端口到大于1024的端口。(服务器端初始化数据连接到客户端的数据端口)
(4)大于1024端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口)


# iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -m limit --limit 5/minute -j ACCEPT
# iptables -A OUTPUT -d 172.16.0.0/16 -p tcp --sport 20 -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

有关related状态的说明:
RELATED状态在有双通道的服务中会出现的。比如ftp服务的控制通道和数据通道。client发送syn请求到server的21端口,中间的linux系统变为NEW状态。server回复syn+ack应答包给client,中间的linux变为ESTABLISHED状态。当ftp的控制通道建立完后,会建立数据通道,而数据通道的第一个包就是RELATED状态,以后的包又变成ESTABLISHED状态。

3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;

# iptables -A INPUT -d 172.16.6.10 -p tcp --dport 22 -m iprange --src-range 172.16.6.1-192.168.6.100 -m limit --limit 2/min -j ACCEPT 
# iptables -A OUTPUT -s 172.16.6.10 -p tcp --sport 22 -m iprange --dst-range 172.16.6.1-192.168.6.100 -m state --state ESTABLISHED -j ACCEPT

4、拒绝TCP标志位全部为1及全部为0的报文访问本机;

#iptables -A INPUT -d 192.168.2.35 -p tcp --tcp-flags ALL ALL -j DROP
#iptables -A INPUT -d 192.168.2.35 -p tcp --tcp-flags ALL NONE -j DROP

5、允许本机ping别的主机;但不开放别的主机ping本机;

icmp-type 8 Echo request——回显请求(Ping请求)
icmp-type 0 Echo request——回显应答(Ping应答)

#iptables -A OUTPUT -s 192.168.2.35 -p icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -d 192.168.2.35 -p icmp --icmp-type 0 -j DROP


6、判断下述规则的意义:

# iptables -N clean_in //创建自定义链clean_in

# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP //丢弃广播地址包

# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP //丢弃172.16.255.255的icmp报文


# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP //丢弃syn标志不为1,链接状态为新建链接的包

# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP // 丢弃tcp标志全部为1的报文

# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP //丢弃tcp标志全部为0的报文

# iptables -A clean_in -d 172.16.100.7 -j RETURN //在结束clean_in链过滤后回到主链



# iptables -A INPUT -d 172.16.100.7 -j clean_in //目标为172.16.100.7的报文交给clean_in处理


# iptables -A INPUT -i lo -j ACCEPT //指定流入报文接口为本地回环

# iptables -A OUTPUT -o lo -j ACCEPT //指定流出报文接口为本地回环



# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP //指定流入报文接口为eth0,协议为tcp,目标端口为53,113,135,137,139,445的报文丢弃

# iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP //指定流入报文接口为eth0,协议为udp,目标端口为53,113,135,137,139,445的报文丢弃

# iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP //指定流入报文接口为eth0,协议为udp,目标端口为1026的报文丢弃

# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP //指定流入报文接口为eth0,协议为tcp,目标端口为1433,4899的报文丢弃


# iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT //限定ping速率为每秒10次

7、通过tcp_wrapper控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;

[[email protected] ~]vim /etc/hosts.allow
vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3
vim /etc/hosts.deny
vsftpd:ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log

8、删除/boot/grub/grub.conf文件中所有行的行首的空白字符;

[[email protected] tmp]# cp /boot/grub/grub.conf /tmp
[[email protected] tmp]# sed -i ‘[email protected]^[[:space:]]\[email protected]@‘ grub.conf


9、删除/etc/fstab文件中所有以#开头,后跟至少一个空白字符的行的行首的#和空白字符;

[[email protected] tmp]# cp /etc/fstab /tmp
[[email protected] tmp]# sed -i ‘[email protected]^#[[:space:]]\[email protected]@‘ fstab

10、把/etc/fstab文件的奇数行另存为/tmp/fstab.3;

方法一:

[[email protected] ~]# sed ‘n;d‘ /etc/fstab > /tmp/fstab.3
[[email protected] ~]# cat /tmp/fstab.3
# /etc/fstab
#
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
/dev/mapper/vg_stco6-lv_root /                       ext4    defaults        1 1
/dev/mapper/vg_stco6-lv_swap swap                    swap    defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
proc                    /proc                   proc    defaults        0 0
/dev/testvg/mylv1       /users                  ext4    defaults,acl,nodiratime 0 0

方法二:

[[email protected] ~]# sed -n ‘1~2p‘ /etc/fstab > /tmp/fstab.3
[[email protected] ~]# cat /tmp/fstab.3
# /etc/fstab
#
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
/dev/mapper/vg_stco6-lv_root /                       ext4    defaults        1 1
/dev/mapper/vg_stco6-lv_swap swap                    swap    defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
proc                    /proc                   proc    defaults        0 0
/dev/testvg/mylv1       /users                  ext4    defaults,acl,nodiratime 0 0

11、echo一个文件路径给sed命令,取出其基名;进一步地,取出其路径名;
取基名

[[email protected] ~]# echo "/home/suyi/test/testA" | grep -E -o "[^/]+/?$" | cut -d"/" -f1
testA

取路径名

[[email protected] ~]# echo "/home/suyi/test/testA" | grep -oP "^.*(?=/)"
/home/suyi/test

12、统计当前系统上所有tcp连接的各种状态的个数;

[[email protected] ~]# netstat -nat
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:43314               0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      
tcp        0     64 192.168.2.30:22             192.168.2.11:57654          ESTABLISHED 
tcp        0      0 :::48782                    :::*                        LISTEN      
tcp        0      0 :::111                      :::*                        LISTEN      
tcp        0      0 :::22                       :::*                        LISTEN      
tcp        0      0 ::1:631                     :::*                        LISTEN      
tcp        0      0 ::1:25                      :::*                        LISTEN      
[[email protected] ~]# netstat -nat | awk ‘FNR>2{print $NF}‘ | sort | uniq -c
      1 ESTABLISHED
     10 LISTEN

13、统计指定的web访问日志中各ip的资源访问次数:

[[email protected] tmp]# cat IP statistics.sh 
#!/bin/bash
#将11/Nov/2016全天的访问日志放到Access_log.txt文本
cat access.log |sed -rn ‘/11\/Nov\/2016/p‘ > Access_log.txt 
#统计Access_log.txt里面IP访问数量
cat Access_log.txt |awk ‘{print $1}‘|sort |uniq > IP_NUM.txt
#通过shell统计每个ip访问次数
for i in `cat IP_NUM.txt`
    do 
        IP_Total=`cat  access.log |grep $i |wc -l`
        echo "IP地址"$i"在2016-11-11日全天(24小时)累计成功请求"$IP_Total"次,平均每分钟请求次数为:"$(($IP_Total/1440)) >> result.txt
done

14、授权centos用户可以运行fdisk命令完成磁盘管理,以及使用mkfs或mke2fs实现文件系统管理;

[[email protected] ~]# visudo
centos ALL=(root) /sbin/fdisk, /sbin/mke2fs

15、授权gentoo用户可以运行逻辑卷管理的相关命令;

[[email protected] ~]# visudo
gentoo ALL=(root) /sbin/vgdisplay

16、基于pam_time.so模块,限制用户通过sshd服务远程登录只能在工作时间进行;

# vim /etc/pam.d/sshd

在account required pam_nologin.so上插入一行:

account required pam_time.so


# vim /etc/security/time.conf
*;*;*;MoTuWeThFr0800-1700

上面表示工作时间的8点到下午5点
17、基于pam_listfile.so模块,定义仅某些用户,或某些组内的用户可登录系统;

[[email protected] ~]# vim /etc/users
[[email protected] ~]# cat /etc/users
root 
gentoo
[[email protected] ~]# chmod 600 /etc/users
[[email protected] ~]# chown root /etc/users
[[email protected] ~]# vim /etc/pam.d/sshd

再编辑/etc/pam.d/sshd文件,加入以下一行内容:

auth required pam_listfile.so item=user sense=allow file=/etc/users onerr=succeed


以上是关于第十周作业的主要内容,如果未能解决你的问题,请参考以下文章

《网络攻防》第十周作业

《网络攻防第十周作业》

2017-2018-2 20179223《网络攻防技术》第十周作业

2017-2018-2 20179207 《网络攻防技术》第十周作业

2017-2018-2 20179216 《网络攻防与实践》第十周作业

2017-2018-2 20179205《网络攻防技术与实践》第十周作业 缓冲区溢出攻防研究