linux防火墙配置实验

单个IP地址建立连接

和DOS 攻击

实验

第九组

2017.05.19

单个IP地址限制连接

实验原理：

防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信息包过滤表中，而这些表集成在Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。

netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具，

也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。

实验环境

攻击者win7 64位 ip:172.16.9.1，被攻击者虚拟机vm构造，与宿主机采用桥接，在同一网段，ip为1.1.1.2

实验目的：

通过Vmware虚拟机，配置网关，以及模拟外网，内网，Web服务器。通过

外网来进行DOS攻击，通过在被攻击的主机上抓包可以清楚地看到整个攻击过程，并且在网关上设置了NAT地址转换，在访问外网时将内网地址转换成公网地址（SNAT），以及外网访问内网时将公网地址转换成内网地址（DNAT）。并且可以在网关上设置上网时间，限制某些应用访问Internet等。

实验拓扑：

实验步骤：

搭建实验环境（Vmware虚拟机作为平台），按照逻辑拓扑图进行连接。

1.配置网关

1)配置三块网卡，分别是eth0，eth1，eth2，全部设置为桥接模式。

2)Eth1 ip地址192.168.9.1，eth2 ip地址192.168.19.1，eth0 ip地址1.1.9.1

3)使用命令echo “1”> /proc/sys/net/ipv4/ip_forward，打开路由功能

4)使用命令 /etc/init.d/iptables stop。关闭防火墙。

5)制定NAT转化策略，建议当底层网络全部通时再测试NAT。

2.配置主机（包括web服务器，外网主机）

1)配置一块网卡eth0 添加ip地址,模式为桥接。

2)增加各自的默认网关。

3)关闭本地防火墙。

3.调试dos攻击程序，在模拟外网的pc上编译执行，在web服务器上抓包观察。

4.观察NAT转化是否实现

5.实验截图：

5.1.将网卡配置为桥接模式。

5.2.验证网络的连通性。

5.3.查看服务器的连通性。

DOS攻击

实验原理

拒绝服务攻击是一种非常有效的攻击技术，它利用协议或系统的缺陷，采用欺骗的策略进行网络攻击，最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求，即对外表现为拒绝提供服务。

dos攻击

dos攻击在众多网络攻击技术中是一种简单有效并且具有很大危害性的攻

击方法。它通过各种手段消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的访问服务。

ddos攻击

ddos攻击是基于dos攻击的一种特殊形式。攻击者将多台受控制的计算机联合起来向目标计算机发起dos攻击，它是一种大规模协作的攻击方式，主要瞄准比较大的商业站点，具有较大的破坏性。

ddos攻击由攻击者、主控端和代理端组成。攻击者是整个ddos攻击发起的源头，它事先已经取得了多台主控端计算机的控制权，主控端极端基分别控制着多台代理端计算机。在主控端计算机上运行着特殊的控制进程，可以接受攻击者发来的控制指令，操作代理端计算机对目标计算机发起ddos攻击。

ddos攻击之前，首先扫描并入侵有安全漏洞的计算机并取得其控制权，然后在每台被入侵的计算机中安装具有攻击功能的远程遥控程序，用于等待攻击者发出的入侵命令。这些工作是自动、高速完成的，完成后攻击者会消除它的入侵痕迹，使系统的正常用户一般不会有所察觉。攻击者之后会继续利用已控制的计算机扫描和入侵更多的计算机。重复执行以上步骤，将会控制越来越多的计算机。

典型的DOS攻击：

●死亡之ping

●ICMP Smurf

●Land攻击

●Teardrop攻击

●SYN flood

●UDP Flood

●Ddos

●电子邮件炸弹

程序代码：

#include

void send_tcp(int sockfd,struct sockaddr_in *addr); unsigned short check_sum(unsigned short *addr,int len); #include

#include

#include

#include

#include

#include

#include

#define LOCALPORT 8888

#include "mdos.h"

#include

#include

//for htnos

#include

#include

#include

//for setuid

#include

#include