使用SNORT观察网络数据包和TCP链接VIP免费

任课教师：舒挺，张芳《计算机网络》（2013-2014学年第2学期）实验报告学号：2012329620006姓名：章钰沁班级：12级计算机科学与技术（1）班实验三：使用SNORT观察网络数据包和TCP链接一、实验内容和要求学会安装使用自由软件SNORT截获以太网数据包，并分析和描述TCP连接的三个阶段。截获ARP协议数据包并进行分析二、实验步骤第一部分安装snort1、下载snort-2_0_4.exe网址：http://www.snort.org/dl/binaries/win32/snort-2_0_4.exe2、下载WinPcap_3_0.exehttp://winpcap.polito.it/install/bin/WinPcap_3_0.exe3、安装snort和winpcap4、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd/snort/bin5、执行snort–ev出现以下屏幕，表示安装完成并能正常使用6、用ctrl+C结束。7、观察一个完整的TCP连接。第二部分1、在snort的工作目录中使用命令snort–dev–l/snort/log开始snort并将相应的log文件记录在log目录下。2、另开一个命令窗口，键入命令FTPftp.zist.edu.cn3、观察ftp命令窗口4、打开相应的log目录5、查找到相应的TCP连接，并用文本分析器打开。对照ftp命令窗口中出现的结果，分析刚才的TCP连接过程。第三部分观察ARP协议1、同二，打开SNORT并记录。2、在另一命令窗口执行以下命令：arp–a观察高速缓存telnet192.168.0.3discard注：和一个在ARP缓存中不存在的主机进行telnet连接。quit3、quit4、分析所捕获的数据包，并且写出arp的全过程。三、实验结果第一部分1、先在控制面板——>用户帐户中更改密码，如下图所示：2、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd/snort/bin3、执行snort–ev，然后按ctrl+c后，出现以下屏幕第二部分4、在snort的工作目录中使用命令snort–dev–l/snort/log显示结果如下图所示：则snort文件夹中的log文件夹的内容如下图所示：log文件夹中的arp.txt文本文件内容如下图所示则本机的数据包要告诉这三个主机5、另开一个命令窗口，键入命令FTP10.16.23.2，并且输dir，查看ip地址为10.16.23.2的电脑的相应目录结果如下图所示：接下来抓取数据包在控制面板中设置默认FTP站点（本机ip地址为192.168.1.101）对方主机（ip地址为192.168.1.102）的消息设置如下图所示：先在对方C:\Inetpub\ftproot\中，新建一个文件夹，存放ftp服务器端的数据，用来检验是否连接上对方电脑连接对方主机ip，即192.168.1.102，如下图所示：则在对方主机的log文件夹中的192.168.1.101（本机ip）文件夹中的TCP_1989-21.txt文件内容如下：01/01-22:24:56.5419160:16:EC:D2:63:C1->0:19:21:28:33:9Dtype:0x800len:0x3E192.168.1.101:1989->192.168.1.102:21TCPTTL:128TOS:0x0ID:19484IpLen:20DgmLen:48DF******S*Seq:0x967E1721Ack:0x0Win:0xFFFFTcpLen:28TCPOptions(4)=>MSS:1460NOPNOPSackOK（先是本机向对方主机192.168.1.102发出连接请求报文段，这时首部中的同步位SYN=1，同时选择一个初始序列seq=0x967E1721，记为x）=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.5419720:19:21:28:33:9D->0:16:EC:D2:63:C1type:0x800len:0x3E192.168.1.102:21->192.168.1.101:1989TCPTTL:128TOS:0x0ID:20321IpLen:20DgmLen:48DF***A**S*Seq:0x777D6950Ack:0x967E1722Win:0xFFFFTcpLen:28TCPOptions(4)=>MSS:1460NOPNOPSackOK(对方主机收到连接请求报文段后，如同意建立连接，则向本机发送确认，SYN位和ACK位都置1，确认号ack=x+1,即0x967E1722,同时也为自己本机选择一个初始序号seq=0x777D6950，记为y)=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.5420700:16:EC:D2:63:C1->0:19:21:28:33:9Dtype:0x800len:0x3C192.168.1.101:1989->192.168.1.102:21TCPTTL:128TOS:0x0ID:19485IpLen:20DgmLen:40DF***A****Seq:0x967E1722Ack:0x777D6951Win:0xFFFFTcpLen:20（本机接收到对方主机的确认后，还要向对方主机给出确认，ACK置1,确认号ack=y+1,而自己的序号seq=x+1）这样三次握手结束=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.55...