使用SNORT观察网络数据包和TCP链接Word文件下载.docx

1、2、 下载WinPcap_3_0.exehttp:/winpcap.polito.it/install/bin/WinPcap_3_0.exe3、 安装snort和winpcap4、 打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin5、 执行snort ev出现以下屏幕，表示安装完成并能正常使用6、 用ctrl +C结束。7、 观察一个完整的TCP连接。第二部分1、 在snort的工作目录中使用命令snort devl /snort/log 开始snort并将相应的log文件记录在log目录下。2、 另开一个命令窗口，键入命令FTP3、 观察ftp命令窗口

2、4、 打开相应的log目录5、 查找到相应的TCP连接，并用文本分析器打开。对照ftp命令窗口中出现的结果，分析刚才的TCP连接过程。第三部分观察ARP协议1、 同二，打开SNORT并记录。2、 在另一命令窗口执行以下命令：arpa 观察高速缓存telnet 192.168.0.3 discard 注：和一个在ARP缓存中不存在的主机进行telnet连接。quit3、 quit4、 分析所捕获的数据包，并且写出arp的全过程。三、实验结果第一部分1、先在控制面板用户帐户中更改密码，如下图所示：2、打开DOS命令窗口COMMAND。3、执行snort ev，然后按ctrl+c后，出现以下屏幕4、

3、在snort的工作目录中使用命令显示结果如下图所示：则snort文件夹中的log文件夹的内容如下图所示：log文件夹中的arp.txt文本文件内容如下图所示则本机的数据包要告诉这三个主机5、另开一个命令窗口，键入命令FTP10.16.23.2，并且输dir，查看ip地址为10.16.23.2的电脑的相应目录结果如下图所示：接下来抓取数据包在控制面板中设置默认FTP站点（本机ip地址为192.168.1.101）对方主机（ip地址为192.168.1.102）的消息设置如下图所示：先在对方C:Inetpubftproot中，新建一个文件夹，存放ftp服务器端的数据，用来检验是否连接上对方电脑连接

4、对方主机ip，即192.168.1.102，如下图所示：则在对方主机的log文件夹中的192.168.1.101（本机ip）文件夹中的TCP_1989-21.txt文件内容如下：01/01-22:24:56.541916 0:16:EC:D2:63:C1 - 0:19:21:28:33:9D type:0x800 len:0x3E192.168.1.101:1989 - 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19484 IpLen:20 DgmLen:48 DF*S* Seq: 0x967E1721 Ack: 0x0 Win: 0xFFFF TcpLe

5、n: 28TCP Options （4） = MSS: 1460 NOP NOPSackOK（先是本机向对方主机192.168.1.102发出连接请求报文段，这时首部中的同步位SYN=1，同时选择一个初始序列seq=0x967E1721，记为x）=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+56.541972 0:9D -C1 type:192.168.1.102:21 - 192.168.1.101:1989 TCP TTL:20321 IpLen:*A*S* Seq: 0x777D6950

6、 Ack: 0x967E1722 Win:（对方主机收到连接请求报文段后，如同意建立连接，则向本机发送确认，SYN位和ACK位都置1，确认号ack=x+1,即0x967E1722,同时也为自己本机选择一个初始序号seq=0x777D6950，记为y）56.542070 0:0x3C19485 IpLen:40 DF*A* Seq: 0x967E1722 Ack: 0x777D6951 Win: 20（本机接收到对方主机的确认后，还要向对方主机给出确认，ACK置1,确认号ack=y+1,而自己的序号seq=x+1）这样三次握手结束56.554736 0:0x5120322 IpLen:67 DF

7、*AP* Seq: 0x777D6951 Ack:32 32 30 2D 4D 69 63 72 6F 73 6F 66 74 20 46 54 220-Microsoft FT50 20 53 65 72 76 69 63 65 0D 0A P Service.56.706035 0:19486 IpLen: 0x777D696C Win: 0xFFE4 TcpLen:56.706076 0:20323 IpLen: 0x777D696C Ack:32 32 30 20 71 77 0D 0A 220qw.56.924799 0:19488 IpLen: 0x777D6974 Win: 0x

8、FFDC TcpLen:25:12.941822 0:0x4319530 IpLen:53 DF55 53 45 52 20 6C 69 67 6F 6E 67 0D 0A USER ligong.12.954099 0:0x5920380 IpLen:75 DF 0x777D6974 Ack: 0x967E172F Win: 0xFFF2 TcpLen:33 33 31 20 50 61 73 73 77 6F 72 64 20 72 65 71 331 Password req75 69 72 65 64 20 66 6F 72 20 6C 69 67 6F 6E 67 uired for

9、 ligong2E 0D 0A .13.112085 0:19531 IpLen: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen:22.394585 0:0x4219556 IpLen:52 DF50 41 53 53 20 73 75 6E 6E 79 0D 0A PASS sunny.22.405151 0:20411 IpLen: 0x777D6997 Ack: 0x967E173B Win: 0xFFE6 TcpLen:32 33 30 2D 61 61 0D 0A 230-aa.22.518213 0:19557 IpLen: 0x967

10、E173B Ack: 0x777D699F Win: 0xFFB1 TcpLen:22.518242 0:0x5220415 IpLen:68 DF 0x777D699F Ack:32 33 30 20 55 73 65 72 20 6C 69 67 6F 6E 67 20 230 User ligong6C 6F 67 67 65 64 20 69 6E 2E 0D 0A logged in.22.736966 0:19558 IpLen: 0x777D69BB Win: 0xFF95 TcpLen:27.891743 0:0x5019570 IpLen:66 DF50 4F 52 54 2

11、0 31 39 32 2C 31 36 38 2C 31 2C 31 PORT 192,168,1,130 31 2C 37 2C 32 30 31 0D 0A 01,7,201.27.891845 0:0x5420429 IpLen:70 DF 0x777D69BB Ack: 0x967E1755 Win: 0xFFCC TcpLen:32 30 30 20 50 4F 52 54 20 63 6F 6D 6D 61 6E 64 200 PORT command20 73 75 63 63 65 73 73 66 75 6C 2E 0D 0A successful.27.893532 0:1

12、9573 IpLen:46 DF 0x967E1755 Ack: 0x777D69D9 Win: 0xFF77 TcpLen:4C 49 53 54 0D 0A LIST.27.893592 0:0x6B20430 IpLen:93 DF 0x777D69D9 Ack: 0x967E175B Win: 0xFFC6 TcpLen:31 35 30 20 4F 70 65 6E 69 6E 67 20 41 53 43 49 150 Opening ASCI49 20 6D 6F 64 65 20 64 61 74 61 20 63 6F 6E 6E I mode data conn65 63

13、74 69 6F 6E 20 66 6F 72 20 2F 62 69 6E 2F ection for /bin/6C 73 2E 0D 0A ls.28.096275 0:19577 IpLen: 0x967E175B Ack: 0x777D6A0E Win: 0xFF42 TcpLen:28.096316 0:0x4E20436 IpLen:64 DF 0x777D6A0E Ack:32 32 36 20 54 72 61 6E 73 66 65 72 20 63 6F 6D 226 Transfer com70 6C 65 74 65 2E 0D 0A plete.28.315030 0:19578 IpLen: 0x777D6A26 Win: 0xFF2A TcpLen:47.242160 0:19629 IpLen: