使用SNORT观察网络数据包和TCP链接Word文件下载.docx
《使用SNORT观察网络数据包和TCP链接Word文件下载.docx》由会员分享,可在线阅读,更多相关《使用SNORT观察网络数据包和TCP链接Word文件下载.docx(16页珍藏版)》请在冰豆网上搜索。
2、下载WinPcap_3_0.exe http:
//winpcap.polito.it/install/bin/WinPcap_3_0.exe
3、安装snort和winpcap
4、打开DOS命令窗口COMMAND。
进入snort的安装目录。
Cd/snort/bin
5、执行snort–ev出现以下屏幕,表示安装完成并能正常使用
6、用ctrl+C结束。
7、观察一个完整的TCP连接。
第二部分
1、在snort的工作目录中使用命令
snort–dev–l/snort/log
开始snort并将相应的log文件记录在log目录下。
2、另开一个命令窗口,键入命令
FTP
3、观察ftp命令窗口
4、打开相应的log目录
5、查找到相应的TCP连接,并用文本分析器打开。
对照ftp命令窗口中出现的结果,分析刚才的TCP连接过程。
第三部分
观察ARP协议
1、同二,打开SNORT并记录。
2、在另一命令窗口执行以下命令:
arp–a观察高速缓存
telnet192.168.0.3discard注:
和一个在ARP缓存中不存在的主机进行telnet连接。
quit
3、quit
4、分析所捕获的数据包,并且写出arp的全过程。
三、实验结果
第一部分
1、先在控制面板——>
用户帐户中更改密码,如下图所示:
2、打开DOS命令窗口COMMAND。
3、执行snort–ev,然后按ctrl+c后,出现以下屏幕
4、在snort的工作目录中使用命令
显示结果如下图所示:
则snort文件夹中的log文件夹的内容如下图所示:
log文件夹中的arp.txt文本文件内容如下图所示
则本机的数据包要告诉这三个主机
5、另开一个命令窗口,键入命令
FTP 10.16.23.2,并且输dir,查看ip地址为10.16.23.2的电脑的相应目录
结果如下图所示:
接下来抓取数据包
在控制面板中设置默认FTP站点(本机ip地址为192.168.1.101)
对方主机(ip地址为192.168.1.102)的消息设置如下图所示:
先在对方C:
\Inetpub\ftproot\中,新建一个文件夹,存放ftp服务器端的数据,用来检验是否连接上对方电脑
连接对方主机ip,即192.168.1.102,如下图所示:
则在对方主机的log文件夹中的192.168.1.101(本机ip)文件夹中的TCP_1989-21.txt文件内容如下:
01/01-22:
24:
56.5419160:
16:
EC:
D2:
63:
C1->
0:
19:
21:
28:
33:
9Dtype:
0x800len:
0x3E
192.168.1.101:
1989->
192.168.1.102:
21TCPTTL:
128TOS:
0x0ID:
19484IpLen:
20DgmLen:
48DF
******S*Seq:
0x967E1721Ack:
0x0Win:
0xFFFFTcpLen:
28
TCPOptions(4)=>
MSS:
1460NOPNOPSackOK
(先是本机向对方主机192.168.1.102发出连接请求报文段,这时首部中的同步位SYN=1,同时选择一个初始序列seq=0x967E1721,记为x)
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
56.5419720:
9D->
C1type:
192.168.1.102:
21->
192.168.1.101:
1989TCPTTL:
20321IpLen:
***A**S*Seq:
0x777D6950Ack:
0x967E1722Win:
(对方主机收到连接请求报文段后,如同意建立连接,则向本机发送确认,SYN位和ACK位都置1,确认号ack=x+1,即0x967E1722,同时也为自己本机选择一个初始序号seq=0x777D6950,记为y)
56.5420700:
0x3C
19485IpLen:
40DF
***A****Seq:
0x967E1722Ack:
0x777D6951Win:
20
(本机接收到对方主机的确认后,还要向对方主机给出确认,ACK置1,确认号ack=y+1,而自己的序号seq=x+1)这样三次握手结束
56.5547360:
0x51
20322IpLen:
67DF
***AP***Seq:
0x777D6951Ack:
3232302D4D6963726F736F6674204654220-MicrosoftFT
5020536572766963650D0APService..
56.7060350:
19486IpLen:
0x777D696CWin:
0xFFE4TcpLen:
56.7060760:
20323IpLen:
0x777D696CAck:
3232302071770D0A220qw..
56.9247990:
19488IpLen:
0x777D6974Win:
0xFFDCTcpLen:
25:
12.9418220:
0x43
19530IpLen:
53DF
55534552206C69676F6E670D0AUSERligong..
12.9540990:
0x59
20380IpLen:
75DF
0x777D6974Ack:
0x967E172FWin:
0xFFF2TcpLen:
3333312050617373776F726420726571331Passwordreq
756972656420666F72206C69676F6E67uiredforligong
2E0D0A...
13.1120850:
19531IpLen:
0x967E172FAck:
0x777D6997Win:
0xFFB9TcpLen:
22.3945850:
0x42
19556IpLen:
52DF
504153532073756E6E790D0APASSsunny..
22.4051510:
20411IpLen:
0x777D6997Ack:
0x967E173BWin:
0xFFE6TcpLen:
3233302D61610D0A230-aa..
22.5182130:
19557IpLen:
0x967E173BAck:
0x777D699FWin:
0xFFB1TcpLen:
22.5182420:
0x52
20415IpLen:
68DF
0x777D699FAck:
3233302055736572206C69676F6E6720230Userligong
6C6F6767656420696E2E0D0Aloggedin...
22.7369660:
19558IpLen:
0x777D69BBWin:
0xFF95TcpLen:
27.8917430:
0x50
19570IpLen:
66DF
504F5254203139322C3136382C312C31PORT192,168,1,1
30312C372C3230310D0A01,7,201..
27.8918450:
0x54
20429IpLen:
70DF
0x777D69BBAck:
0x967E1755Win:
0xFFCCTcpLen:
32303020504F525420636F6D6D616E64200PORTcommand
207375636365737366756C2E0D0Asuccessful...
27.8935320:
19573IpLen:
46DF
0x967E1755Ack:
0x777D69D9Win:
0xFF77TcpLen:
4C4953540D0ALIST..
27.8935920:
0x6B
20430IpLen:
93DF
0x777D69D9Ack:
0x967E175BWin:
0xFFC6TcpLen:
313530204F70656E696E672041534349150OpeningASCI
49206D6F6465206461746120636F6E6EImodedataconn
656374696F6E20666F72202F62696E2Fectionfor/bin/
6C732E0D0Als...
28.0962750:
19577IpLen:
0x967E175BAck:
0x777D6A0EWin:
0xFF42TcpLen:
28.0963160:
0x4E
20436IpLen:
64DF
0x777D6A0EAck:
323236205472616E7366657220636F6D226Transfercom
706C6574652E0D0Aplete...
28.3150300:
19578IpLen:
0x777D6A26Win:
0xFF2ATcpLen:
47.2421600:
19629IpLen:
升级会员 