Академический Документы
Профессиональный Документы
Культура Документы
Задачи
Часть 1. Подготовка виртуальной среды
Часть 2. Межсетевой экран и журналы IDS
Часть 3. Завершение и очистка процесса Mininet
Необходимые ресурсы
• Виртуальная машина рабочей станции CyberOps
• Интернет-подключение
Примечание. В этой лабораторной работе ВМ CyberOps Workstation — это контейнер для
развертывания среды Mininet, показанной в топологии. Если при запуске какой-либо команды
возникает ошибка памяти, завершите выполнение данного шага, перейдите в раздел параметров ВМ и
увеличьте объем памяти. Значение по умолчанию — 1 ГБ; попробуйте значение 2 ГБ.
c. Используйте команду ifconfig , чтобы проверить, что у ВМ CyberOps Workstation теперь настроен IP-
адрес из вашей локальной сети. Также можно проверить возможность подключения к какомулибо
общедоступному веб-серверу, например командой ping www.cisco.com. Используйте сочетание клавиш
Ctrl + C, чтобы остановить эхозапросы.
• Компонент соответствия определяет интересующие элементы пакета, такие как источник пакета,
назначение пакета, протоколы транспортного уровня и порты, а также данные, включенные в
полезную нагрузку пакета.
• Компонент действия определяет, что следует сделать с пакетом, у которого компонент
соответствует условиям, например принять и переслать пакет, пропустить пакет или отправить
пакет на дополнительный набор правил для дальнейшей проверки.
Стандартно межсетевой экран предназначен для отбрасывания всех пакетов по умолчанию при
определении вручную, какой трафик должен быть разрешен. Известное под названием «отбрасывание
по умолчанию», такое устройство экрана имеет преимущество при защите сети от неизвестных атак и
протоколов. В рамках этой структуры обычно события отбрасывания пакетов записываются в журнал,
поскольку они соответствуют пакетам, которые не были явно разрешены и таким образом нарушали
политику организации. Такие события должны быть записаны для последующего анализа.
Должна появиться командная строка mininet, указывая, что среда mininet готова к выполнению
команд.
b. В командной строке mininet откройте оболочку на узле R1 следующей командой:
mininet> xterm R1 mininet>
Оболочка R1 открывается в окне терминала с черным текстом на белом фоне. Какой пользователь
вошел в систему в этой оболочке? Как это можно определить?
f. На H10 проверьте работу веб-сервера с помощью команды netstat с параметрами -tunpa. При
запуске с показанными ниже параметрами netstat выводит список всех портов, которые в
настоящий момент назначены службам.
[root@secOps analyst] # netstat tunpa
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
PID/Program name tcp 0 0 0.0.0.0:6666 0.0.0.0:*
LISTEN 1839/nginx: master
[root@secOps analyst]#
h. В новой вкладке терминала R1 выполните команду tail с параметром -f для мониторинга файла
/var/log/snort/alert в режиме реального времени. Это файл, настроенный в snort для записи
оповещений.
[root@sec0ps analyst]# tail -f /var/log/snort/alert
Поскольку оповещения еще не записывались, то журнал должен быть пустым. Однако, если
данная лабораторная работа выполнялась ранее, могут отображаться старые записи оповещений.
В любом случае после ввода данной команды приглашение командной строки не появится. В этом
окне будут отображаться оповещения по мере их формирования.
i. С хоста H5 командой wget загрузите файл с именем W32.Nimda.Amm.exe. Разработанная для
загрузки содержимого по протоколу HTTP команда wget — это отличное средство для загрузки
файлов непосредственно с веб-серверов из командной строки.
[root@secOps analyst]# wget 209.165.202.133:6666/W32.Nimda.Amm.exe
--2017-04-28 17:00:04-- http://209.165.202.133:6666/W32.Nimda.Amm.exe
j. По мере передачи вредоносного файла на R1 используемая IDS Snort могла изучить его
содержимое. Содержимое, которое соответствует хотя бы одной сигнатуре, настроенной в Snort,
приводило к формированию оповещения в окне второго терминала R1 (вкладка, где выполняется
tail -f). Запись оповещения показана ниже. Метка времени может отличаться.
04/28-17:00:04.092153 [**] [1:1000003:0] Malicious Server Hit! [**] [Priority: 0]
{TCP} 209.165.200.235:34484 -> 209.165.202.133:6666
для захвата этого события и повторно загрузите файл вредоносного ПО. Таким образом вы сможете
перехватить данную транзакцию. Введите следующую команду для начала перехвата пакетов:
Эта команда указывает tcpdump перехватывать пакеты через интерфейс H5 eth0 и сохранять
захваченные данные в файл с именем nimda.download.pcap.
Символ & в конце команды говорит, что оболочка должна выполнять tcpdump в фоновом режиме.
Без этого символа tcpdump сделает невозможным ввод команд с этого терминала. Обратите
внимание на строку [1] 5633, которая означает, что один процесс был отправлен в фоновый режим
и идентификатор этого процесса (PID) — 5366. Ваш PID, скорее всего, будет отличаться.
k. Несколько раз нажмите клавишу ENTER (Ввод), чтобы вернуться к управлению оболочкой, в то
время как tcpdump работает в фоновом режиме.
l. Теперь, когда tcpdump захватывает пакеты, повторно загрузите вредоносное ПО. На H5 повторно
выполните данную команду или используйте стрелку вверх для вызова ее из истории команд.
[root@secOps analyst]# wget 209.165.202.133:6666/W32.Nimda.Amm.exe
--2017-05-02 10:26:50-- http://209.165.202.133:6666/W32.Nimda.Amm.exe
Connecting to 209.165.202.133:6666... connected. HTTP request sent,
awaiting response... 200 OK
Length: 345088 (337K) [application/octet-stream]
Saving to: 'W32.Nimda.Amm.exe'
n. На H5 используйте команду ls, чтобы проверить, что файл pcap был действительно сохранен на
жестком диске и его размер больше нуля.
[root@secOps analyst]# ls -l total 1400 drwxr-xr-x 2 analyst
analyst 4096 Sep 26 2014 Desktop drwx------ 3 analyst analyst
4096 Jul 14 11:28 Downloads drwxr-xr-x 8 analyst analyst 4096 Jul
25 16:27 lab.support.files -rw-r--r-- 1 root root 371784 Aug
17 14:48 nimda.download.pcap drwxr-xr-x 2 analyst analyst 4096 Mar
3 15:56 second_drive -rw-r--r-- 1 root root 345088 Apr 14
15:17 W32.Nimda.Amm.exe
-rw-r--r-- 1 root root 345088 Apr 14 15:17 W32.Nimda.Amm.exe.1
[root@secOps analyst]#
Примечание. Анализ полученного файла PCAP будет выполняться в другой лабораторной работе.
d. Повторно используйте команду iptables и убедитесь, что в цепочку FORWARD было добавлено
данное правило. Для создания выходных данных ВМ CyberOps Workstation может потребоваться
несколько секунд.
[root@secOps analyst]# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- any any anywhere 209.165.202.133
tcp dpt:6666
При необходимости введите Ctrl + C, чтобы отменить загрузку. Загрузка была успешной в этот раз?
Дайте пояснение.
Ні. Тому, що ми заблокували доступ до ресурсу створивши правило для ланцюга forward.
b.
c. После выхода из Mininet очистите систему от процессов, запущенных Mininet. При появлении
соответствующего запроса введите пароль cyberops.
[analyst@secOps scripts]$ sudo mn –c [sudo]
Стр.