使用SNORT观察网络数据包和TCP链接.docx

使用SNORT观察网络数据包和TCP链接.docx

《使用SNORT观察网络数据包和TCP链接.docx》由会员分享，可在线阅读，更多相关《使用SNORT观察网络数据包和TCP链接.docx（17页珍藏版）》请在冰豆网上搜索。

使用SNORT观察网络数据包和TCP链接

使用SNORT观察网络数据包和TCP链接

LT

1、执行snort–ev出现以下屏幕，表示安装完成并能正常使用

2、用ctrl+C结束。

3、观察一个完整的TCP连接。

第二部分

1、在snort的工作目录中使用命令

snort–dev–l/snort/log

开始snort并将相应的log文件记录在log目录下。

2、另开一个命令窗口，键入命令

FTP　

3、观察ftp命令窗口

4、打开相应的log目录

5、查找到相应的TCP连接，并用文本分析器打开。

对照ftp命令窗口中出现的结果，分析刚才的TCP连接过程。

第三部分

观察ARP协议

1、同二，打开SNORT并记录。

2、在另一命令窗口执行以下命令：

arp–a观察高速缓存

telnet192.168.0.3discard注：

和一个在ARP缓存中不存在的主机进行telnet连接。

quit

3、quit

4、分析所捕获的数据包，并且写出arp的全过程。

三、实验结果

第一部分

1、先在控制面板——>用户帐户中更改密码，如下图所示：

2、打开DOS命令窗口COMMAND。

进入snort的安装目录。

Cd/snort/bin

3、执行snort–ev，然后按ctrl+c后，出现以下屏幕

第二部分

4、在snort的工作目录中使用命令

snort–dev–l/snort/log

显示结果如下图所示：

则snort文件夹中的log文件夹的内容如下图所示：

log文件夹中的arp.txt文本文件内容如下图所示

则本机的数据包要告诉这三个主机

5、另开一个命令窗口，键入命令

FTP　10.16.23.2，并且输dir，查看ip地址为10.16.23.2的电脑的相应目录

结果如下图所示：

接下来抓取数据包

在控制面板中设置默认FTP站点（本机ip地址为192.168.1.101）

对方主机（ip地址为192.168.1.102）的消息设置如下图所示：

先在对方C:

\Inetpub\ftproot\中，新建一个文件夹，存放ftp服务器端的数据，用来检验是否连接上对方电脑

连接对方主机ip，即192.168.1.102，如下图所示：

则在对方主机的log文件夹中的192.168.1.101（本机ip）文件夹中的TCP_1989-21.txt文件内容如下：

01/01-22:

24:

56.5419160:

16:

EC:

D2:

63:

C1->0:

19:

21:

28:

33:

9Dtype:

0x800len:

0x3E

192.168.1.101:

1989->192.168.1.102:

21TCPTTL:

128TOS:

0x0ID:

19484IpLen:

20DgmLen:

48DF

******S*Seq:

0x967E1721Ack:

0x0Win:

0xFFFFTcpLen:

28

TCPOptions（4）=>MSS:

1460NOPNOPSackOK

（先是本机向对方主机192.168.1.102发出连接请求报文段，这时首部中的同步位SYN=1，同时选择一个初始序列seq=0x967E1721，记为x）

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

24:

56.5419720:

19:

21:

28:

33:

9D->0:

16:

EC:

D2:

63:

C1type:

0x800len:

0x3E

192.168.1.102:

21->192.168.1.101:

1989TCPTTL:

128TOS:

0x0ID:

20321IpLen:

20DgmLen:

48DF

***A**S*Seq:

0x777D6950Ack:

0x967E1722Win:

0xFFFFTcpLen:

28

TCPOptions（4）=>MSS:

1460NOPNOPSackOK

（对方主机收到连接请求报文段后，如同意建立连接，则向本机发送确认，SYN位和ACK位都置1，确认号ack=x+1,即0x967E1722,同时也为自己本机选择一个初始序号seq=0x777D6950，记为y）

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

24:

56.5420700:

16:

EC:

D2:

63:

C1->0:

19:

21:

28:

33:

9Dtype:

0x800len:

0x3C

192.168.1.101:

1989->192.168.1.102:

21TCPTTL:

128TOS:

0x0ID:

19485IpLen:

20DgmLen:

40DF

***A****Seq:

0x967E1722Ack:

0x777D6951Win:

0xFFFFTcpLen:

20

（本机接收到对方主机的确认后，还要向对方主机给出确认，ACK置1,确认号ack=y+1,而自己的序号seq=x+1）这样三次握手结束

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

24:

56.5547360:

19:

21:

28:

33:

9D->0:

16:

EC:

D2:

63:

C1type:

0x800len:

0x51

192.168.1.102:

21->192.168.1.101:

1989TCPTTL:

128TOS:

0x0ID:

20322IpLen:

20DgmLen:

67DF

***AP***Seq:

0x777D6951Ack:

0x967E1722Win:

0xFFFFTcpLen:

20

3232302D4D6963726F736F6674204654220-MicrosoftFT

5020536572766963650D0APService..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

24:

56.7060350:

16:

EC:

D2:

63:

C1->0:

19:

21:

28:

33:

9Dtype:

0x800len:

0x3C

192.168.1.101:

1989->192.168.1.102:

21TCPTTL:

128TOS:

0x0ID:

19486IpLen:

20DgmLen:

40DF

***A****Seq:

0x967E1722Ack:

0x777D696CWin:

0xFFE4TcpLen:

20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

24:

56.7060760:

19:

21:

28:

33:

9D->0:

16:

EC:

D2:

63:

C1type:

0x800len:

0x3E

192.168.1.102:

21->192.168.1.101:

1989TCPTTL:

128TOS:

0x0ID:

20323IpLen:

20DgmLen:

48DF

***AP***Seq:

0x777D696CAck:

0x967E1722Win:

0xFFFFTcpLen:

20

3232302071770D0A220qw..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

24:

56.9247990:

16:

EC:

D2:

63:

C1->0:

19:

21:

28:

33:

9Dtype:

0x800len:

0x3C

192.168.1.101:

1989->192.168.1.102:

21TCPTTL:

128TOS:

0x0ID:

19488IpLen:

20DgmLen:

40DF

***A****Seq:

0x967E1722Ack:

0x777D6974Win:

0xFFDCTcpLen:

20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

25:

12.9418220:

16:

EC:

D2:

63:

C1->0:

19:

21:

28:

33:

9Dtype:

0x800len:

0x43

192.168.1.101:

1989->192.168.1.102:

21TCPTTL:

128TOS:

0x0ID:

19530IpLen:

20DgmLen:

53DF

***AP***Seq:

0x967E1722Ack:

0x777D6974Win:

0xFFDCTcpLen:

20

55534552206C69676F6E670D0AUSERligong..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

25:

12.9540990:

19:

21:

28:

33:

9D->0:

16:

EC:

D2:

63:

C1type:

0x800len:

0x59

192.168.1.102:

21->192.168.1.101:

1989TCPTTL:

128TOS:

0x0ID:

20380IpLen:

20DgmLen:

75DF

***AP***Seq:

0x777D6974Ack:

0x967E172FWin:

0xFFF2TcpLen:

20

3333312050617373776F726420726571331Passwordreq

756972656420666F72206C69676F6E67uiredforligong

2E0D0A...

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

25:

13.1120850:

16:

EC:

D2:

63:

C1->0:

19:

21:

28:

33:

9Dtype:

0x800len:

0x3C

192.168.1.101:

1989->192.168.1.102:

21TCPTTL:

128TOS:

0x0ID:

19531IpLen:

20DgmLen:

40DF

***A****Seq:

0x967E172FAck:

0x777D6997Win:

0xFFB9TcpLen:

20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:

25:

22.3945850:

16:

EC:

D2:

63:

C1->0:

19:

21:

28:

33:

9Dtype:

0x800len:

0x42

19