西工大网络空间实战攻防能力训练(Actual Combat Ability Training of Cybersecurity Offense-defense Confrontation)系列实验
实验 1 标准分组过滤器实验
实验过程
进行设备放置和连接
放置 2811 路由器时,打开其物理设备视图,断电后添加两个 WIC-2T 设备:
再进行连接并手动开启路由器的各个端口:
配置路由器
完成路由器各个接口 IP 地址和子网掩码配置过程、RIP 配置过程。
配置各终端网络信息
完成各个终端的网络信息配置过程。
打开终端,在 “桌面” → “IP 配置” 中进行配置。PC0 配置的网络信息如下:
使用 ping 命令验证连通性:
封装并传输 IP 分组
切换到模拟操作模式,在 PC0 上创建 ICMP 报文:
封装该 ICMP 报文的 IP 分组的源和目的 IP 地址。目的 IP 地址是 PC3 的 IP 地址 192.1.4.1,源 IP 地址是伪造的 IP 地址 192.1.6.1(PC0 的 IP 地址是 192.1.1.l)。
启动该 IP 分组 PC0 至 PC3 的传输过程,路由器 Router1 接口 FastEthernet0/0 输入方向允许输入该 IP 分组,Router1 正常转发该 IP 分组。
Router 1 正常转发伪造源 IP 地址的 IP 分组:
分组传输过程如下:
配置 R1 标准分组过滤器
切换到实时操作模式,在 CLI 配置方式下,完成路由器 R1 标准分组过滤器配置过程,并将其作用到接口 FastEthernet0/0 输入方向,使路由器 R1 只允许继续转发源 IP 地址属于 CIDR 地址块 192.1.1.0/24 的 IP 分组。
封装并传输 IP 分组
切换到模拟操作模式,在 PC0 上创建 ICMP 报文,封装该 ICMP 报文的 IP 分组的源和目的 IP 地址。启动该 IP 分组 PC0 至 PC3 的传输过程,路由器 R1 接口 FastEthernet0/0 输入方向丢弃该 IP 分组。
丢弃 IP 分组时的 PDU 信息如下:
分析丢弃原因:
在 PDU 信息中显示 “1. 设备发回一条 ICMP 管理性禁止不可达消息(The device sends back an ICMP Administratively Prohibited Unreachable message)。” 查看 ICMP 报文,发现 type = 0x03,code = 0x0D,表示禁止通信(Communication Prohibited),即在管理上禁止与目标通信。
路由器 R1 设置了只允许 192.1.1.0/24 报文通过的标准分组过滤器,并作用到 f0/0 输入方向,而本过程中传输的 IP 分组,其伪造的源地址 192.1.6.1 并不属于 192.1.1.0/24 网段,因此该分组会被路由器丢弃,出现 “管理性禁止不可达” 的情况。
实验要求内容
给出 Router1 及 Router2 命令行接口配置过程中的命令序列。
配置 R1 各接口 IP 地址和子网掩码
1 | Router > en |
配置 R2 各接口 IP 地址和子网掩码
1 | Router > en |
配置 R1 路由器 RIP
1 | R1 > en |
配置 R2 路由器 RIP
1 | R2 > en |
配置 R1 标准分组过滤器
1 | R1#conf t |
实验分析
分析 Router1 丢弃伪造源 IP 地址的 IP 分组的原因:
路由器 R1 设置了只允许 192.1.1.0/24 报文通过的标准分组过滤器,并作用到 f0/0 输入方向,而本过程中传输的 IP 分组,其伪造的源地址 192.1.6.1 并不属于 192.1.1.0/24 网段,因此该分组会被路由器丢弃,出现 “管理性禁止不可达” 的情况。
实验 2 扩展分组过滤器实验
实验过程
放置和连接设备,配置路由器接口和 RIP
完成路由器 R1 和 R2 各个接口的配置过程,完成各台路由器 RIP 配置过程。
配置各终端和服务器网络信息
完成各个终端和服务器网络信息配置过程:
(1)验证终端和终端之间的连通性
在终端 A 上 ping PC2、终端 B、PC3:
(2)验证终端和服务器之间的连通性
在终端 A 上 ping FTP 服务器、Web 服务器:
在终端 B 上 ping FTP 服务器、Web 服务器:
(3)验证服务器和服务器之间的连通性
在 FTP 服务器上 ping Web 服务器:
在 Web 服务器上 ping FTP 服务器:
配置 R1 的扩展分组过滤器
在 CLI 配置方式下,完成路由器 R1 编号为 101 的扩展分组过滤器的配置过程,并将其作用到路由器接口 FastEthernet0/0 输入方向。
需要在路由器 R1 接口 1(f0/0)输入方向配置如下过滤规则集:
① 协议类型 = TCP,源 IP 地址 = 192.1.1.1/32,源端口号 =*,目的 IP 地址 = 192.1.2.7/32,目的端口号 = 80;正常转发。
② 协议类型 = TCP,源 IP 地址 = 192.1.1.7/32,源端口号 = 21,目的 IP 地址 = 192.1.2.1/32,目的端口号 =*;正常转发。
③ 协议类型 = TCP,源 IP 地址 = 192.1.1.7/32,源端口号 >1024,目的 IP 地址 = 192.1.2.1/32,目的端口号 =*;正常转发。
④ 协议类型 =*,源 IP 地址 = any,目的 IP 地址 = any;丢弃。
配置 R2 的扩展分组过滤器
在 CLI 配置方式下,完成路由器 R2 编号为 103 的扩展分组过滤器的配置过程,并将其作用到路由器接口 FastEthernet0/1 输入方向。
需要在路由器 R2 接口 2(f0/1)输入方向配置如下过滤规则集:
① 协议类型 = TCP,源 IP 地址 = 192.1.2.7/32,源端口号 = 80,目的 IP 地址 = 192.1.1.1/32,目的端口号 =*;正常转发。
② 协议类型 = TCP,源 IP 地址 = 192.1.2.1/32,源端口号 =*,目的 IP 地址 = 192.1.1.7/32,目的端口号 = 21;正常转发。
③ 协议类型 = TCP,源 IP 地址 = 192.1.2.1/32,源端口号 =*,目的 IP 地址 = 192.1.1.7/32,目的端口号 >1024;正常转发。
④ 协议类型 =*,源 IP 地址 = any,目的 IP 地址 = any;丢弃。
验证不同网络的终端之间和服务器之间不能 ping 通
终端 B 与终端 A(192.1.1.1)、终端 B 与 FTP 服务器(192.1.1.7)之间:
Web 服务器(192.1.2.7)与 FTP 服务器(192.1.1.7)之间:
尝试发送 IP 分组
PC0(终端 A)发送给 Web 服务器的 ICMP 报文,封装成 IP 分组后沿 PC0 至 Web 服务器的 IP 传输路径传输,到达路由器 R1 接口 FastEthernet0/0 时,被路由器 R1 丢弃。
分析丢弃原因:
查看 PDU 信息,可以发现显示 “1. 接收端口具有 ID 为 101 的入站流量访问列表。设备根据访问列表检查数据包。2. 该数据包匹配下列语句的条件: deny ip any any. 拒绝并丢弃该数据包.” 终端 A 主机所发送的 ICMP 报文的端口号不是 80,在路由器 R1 根据访问列表 101 检查数据包时,只能与 “deny ip any any” 这一语句相匹配,因而无法通过,IP 分组被过滤。
详细信息如下:
PC2(终端 B)访问 FTP 服务器
允许 PC0 通过浏览器访问 Web 服务器。
FTP 服务器配置界面创建两个用户名分别为 aaa 和 cisco 的授权用户,授权用户访问权限是全部操作功能。此时终端 B 可用这两个用户名访问 FTP 服务器。
PC2(终端 B)访问 FTP 服务器的过程如下:
实验要求内容
给出路由器 Router1 接口和 RIP 配置过程、路由器 Router2 接口和 RIP 配置过程、路由器 Router1 扩展分组过滤器配置过程及路由器 Router2 扩展分组过滤器配置过程中的命令序列。
路由器 R1 接口配置过程
1 | Router#conf t |
路由器 R2 接口配置过程
1 | Router#conf t |
路由器 R1 RIP 配置过程
1 | R1#conf t |
路由器 R2 RIP 配置过程
1 | R2#conf t |
路由器 R1 扩展分组过滤器配置过程
1 | R1>en |
路由器 R2 扩展分组过滤器配置过程
1 | R2>en |
实验分析
分析路由器 R1 丢弃 PC0 发送给 Web 服务器的 ICMP 报文的原因:
PC0(终端 A,192.1.1.1)主机虽然可以访问 Web 服务器,但是其所发送的 ICMP 报文的端口号不是 80,在路由器 R1 根据访问列表 101 检查数据包时,只能与 “deny ip any any” 这一语句相匹配,因而无法通过,IP 分组被过滤。
彩蛋
- 彩蛋图片:
- 作者:カンパ twi@campagne_9,pid:2520952
- 来源:pixiv ID: 119037357
