1、2、 下载WinPcap_3_0.exehttp:/winpcap.polito.it/install/bin/WinPcap_3_0.exe3、 安装snort和winpcap4、 打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin5、 执行snort ev出现以下屏幕,表示安装完成并能正常使用6、 用ctrl +C结束。7、 观察一个完整的TCP连接。第二部分1、 在snort的工作目录中使用命令snort devl /snort/log 开始snort并将相应的log文件记录在log目录下。2、 另开一个命令窗口,键入命令FTP3、 观察ftp命令窗口
2、4、 打开相应的log目录5、 查找到相应的TCP连接,并用文本分析器打开。对照ftp命令窗口中出现的结果,分析刚才的TCP连接过程。第三部分观察ARP协议1、 同二,打开SNORT并记录。2、 在另一命令窗口执行以下命令:arpa 观察高速缓存telnet 192.168.0.3 discard 注:和一个在ARP缓存中不存在的主机进行telnet连接。quit3、 quit4、 分析所捕获的数据包,并且写出arp的全过程。三、实验结果第一部分1、先在控制面板用户帐户中更改密码,如下图所示:2、打开DOS命令窗口COMMAND。3、执行snort ev,然后按ctrl+c后,出现以下屏幕4、
3、在snort的工作目录中使用命令显示结果如下图所示:则snort文件夹中的log文件夹的内容如下图所示:log文件夹中的arp.txt文本文件内容如下图所示则本机的数据包要告诉这三个主机5、另开一个命令窗口,键入命令FTP10.16.23.2,并且输dir,查看ip地址为10.16.23.2的电脑的相应目录结果如下图所示:接下来抓取数据包在控制面板中设置默认FTP站点(本机ip地址为192.168.1.101)对方主机(ip地址为192.168.1.102)的消息设置如下图所示:先在对方C:Inetpubftproot中,新建一个文件夹,存放ftp服务器端的数据,用来检验是否连接上对方电脑连接
4、对方主机ip,即192.168.1.102,如下图所示:则在对方主机的log文件夹中的192.168.1.101(本机ip)文件夹中的TCP_1989-21.txt文件内容如下:01/01-22:24:56.541916 0:16:EC:D2:63:C1 - 0:19:21:28:33:9D type:0x800 len:0x3E192.168.1.101:1989 - 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19484 IpLen:20 DgmLen:48 DF*S* Seq: 0x967E1721 Ack: 0x0 Win: 0xFFFF TcpLe
5、n: 28TCP Options (4) = MSS: 1460 NOP NOPSackOK(先是本机向对方主机192.168.1.102发出连接请求报文段,这时首部中的同步位SYN=1,同时选择一个初始序列seq=0x967E1721,记为x)=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+56.541972 0:9D -C1 type:192.168.1.102:21 - 192.168.1.101:1989 TCP TTL:20321 IpLen:*A*S* Seq: 0x777D6950
6、 Ack: 0x967E1722 Win:(对方主机收到连接请求报文段后,如同意建立连接,则向本机发送确认,SYN位和ACK位都置1,确认号ack=x+1,即0x967E1722,同时也为自己本机选择一个初始序号seq=0x777D6950,记为y)56.542070 0:0x3C19485 IpLen:40 DF*A* Seq: 0x967E1722 Ack: 0x777D6951 Win: 20(本机接收到对方主机的确认后,还要向对方主机给出确认,ACK置1,确认号ack=y+1,而自己的序号seq=x+1)这样三次握手结束56.554736 0:0x5120322 IpLen:67 DF
7、*AP* Seq: 0x777D6951 Ack:32 32 30 2D 4D 69 63 72 6F 73 6F 66 74 20 46 54 220-Microsoft FT50 20 53 65 72 76 69 63 65 0D 0A P Service.56.706035 0:19486 IpLen: 0x777D696C Win: 0xFFE4 TcpLen:56.706076 0:20323 IpLen: 0x777D696C Ack:32 32 30 20 71 77 0D 0A 220qw.56.924799 0:19488 IpLen: 0x777D6974 Win: 0x
8、FFDC TcpLen:25:12.941822 0:0x4319530 IpLen:53 DF55 53 45 52 20 6C 69 67 6F 6E 67 0D 0A USER ligong.12.954099 0:0x5920380 IpLen:75 DF 0x777D6974 Ack: 0x967E172F Win: 0xFFF2 TcpLen:33 33 31 20 50 61 73 73 77 6F 72 64 20 72 65 71 331 Password req75 69 72 65 64 20 66 6F 72 20 6C 69 67 6F 6E 67 uired for
9、 ligong2E 0D 0A .13.112085 0:19531 IpLen: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen:22.394585 0:0x4219556 IpLen:52 DF50 41 53 53 20 73 75 6E 6E 79 0D 0A PASS sunny.22.405151 0:20411 IpLen: 0x777D6997 Ack: 0x967E173B Win: 0xFFE6 TcpLen:32 33 30 2D 61 61 0D 0A 230-aa.22.518213 0:19557 IpLen: 0x967
10、E173B Ack: 0x777D699F Win: 0xFFB1 TcpLen:22.518242 0:0x5220415 IpLen:68 DF 0x777D699F Ack:32 33 30 20 55 73 65 72 20 6C 69 67 6F 6E 67 20 230 User ligong6C 6F 67 67 65 64 20 69 6E 2E 0D 0A logged in.22.736966 0:19558 IpLen: 0x777D69BB Win: 0xFF95 TcpLen:27.891743 0:0x5019570 IpLen:66 DF50 4F 52 54 2
11、0 31 39 32 2C 31 36 38 2C 31 2C 31 PORT 192,168,1,130 31 2C 37 2C 32 30 31 0D 0A 01,7,201.27.891845 0:0x5420429 IpLen:70 DF 0x777D69BB Ack: 0x967E1755 Win: 0xFFCC TcpLen:32 30 30 20 50 4F 52 54 20 63 6F 6D 6D 61 6E 64 200 PORT command20 73 75 63 63 65 73 73 66 75 6C 2E 0D 0A successful.27.893532 0:1
12、9573 IpLen:46 DF 0x967E1755 Ack: 0x777D69D9 Win: 0xFF77 TcpLen:4C 49 53 54 0D 0A LIST.27.893592 0:0x6B20430 IpLen:93 DF 0x777D69D9 Ack: 0x967E175B Win: 0xFFC6 TcpLen:31 35 30 20 4F 70 65 6E 69 6E 67 20 41 53 43 49 150 Opening ASCI49 20 6D 6F 64 65 20 64 61 74 61 20 63 6F 6E 6E I mode data conn65 63
13、74 69 6F 6E 20 66 6F 72 20 2F 62 69 6E 2F ection for /bin/6C 73 2E 0D 0A ls.28.096275 0:19577 IpLen: 0x967E175B Ack: 0x777D6A0E Win: 0xFF42 TcpLen:28.096316 0:0x4E20436 IpLen:64 DF 0x777D6A0E Ack:32 32 36 20 54 72 61 6E 73 66 65 72 20 63 6F 6D 226 Transfer com70 6C 65 74 65 2E 0D 0A plete.28.315030 0:19578 IpLen: 0x777D6A26 Win: 0xFF2A TcpLen:47.242160 0:19629 IpLen:
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1