使用SNORT观察网络数据包和TCP链接

1、任课教师： 舒挺，张芳计算机网络（2013-2014学年第2学期）实验报告学号：2012329620006姓名：章钰沁班级：12级计算机科学与技术（1）班实验三：使用SNORT观察网络数据包和TCP链接一、实验内容和要求l 学会安装使用自由软件SNORTl 截获以太网数据包，并分析和描述TCP连接的三个阶段。l 截获ARP协议数据包并进行分析二、实验步骤第一部分安装snort1、 下载snort-2_0_4.exe 网址：/dl/binaries/win32/snort-2_0_4.exe2、 下载WinPcap_3_0.exe http:/winpcap

2、.polito.it/install/bin/WinPcap_3_0.exe3、 安装snort和winpcap4、 打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin5、 执行snort ev 出现以下屏幕，表示安装完成并能正常使用6、 用ctrl +C结束。7、 观察一个完整的TCP连接。 第二部分1、 在snort的工作目录中使用命令snort dev l /snort/log 开始snort并将相应的log文件记录在log目录下。2、 另开一个命令窗口，键入命令FTP3、 观察ftp命令窗口4、 打开相应的log目录5、 查找到相应的TCP连接，并用

3、文本分析器打开。对照ftp命令窗口中出现的结果，分析刚才的TCP连接过程。第三部分观察ARP协议1、 同二，打开SNORT并记录。2、 在另一命令窗口执行以下命令：arp a 观察高速缓存telnet discard 注：和一个在ARP缓存中不存在的主机进行telnet连接。quit 3、 quit4、 分析所捕获的数据包，并且写出arp的全过程。三、实验结果第一部分1、先在控制面板>用户帐户中更改密码，如下图所示：2、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin3、执行snort ev ，然后按ctrl+c后，出现以下屏

4、幕第二部分4、在snort的工作目录中使用命令snort dev l /snort/log 显示结果如下图所示：则snort文件夹中的log文件夹的内容如下图所示：log文件夹中的arp.txt文本文件内容如下图所示则本机的数据包要告诉这三个主机5、另开一个命令窗口，键入命令FTP，并且输dir，查看ip地址为的电脑的相应目录结果如下图所示：接下来抓取数据包在控制面板中设置默认FTP站点（本机ip地址为01）对方主机（ip地址为02）的消息设置如下图所示：先在对方C:Inetpubftproot中，新建一个文件

5、夹，存放ftp服务器端的数据，用来检验是否连接上对方电脑连接对方主机ip，即02，如下图所示：则在对方主机的log文件夹中的01（本机ip）文件夹中的TCP_1989-21.txt文件内容如下：01/01-22:24:56.541916 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3E01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19484 IpLen:20 DgmLen:48 DF*S* Seq:

6、 0x967E1721 Ack: 0x0 Win: 0xFFFF TcpLen: 28TCP Options (4) => MSS: 1460 NOP NOP SackOK （先是本机向对方主机02发出连接请求报文段，这时首部中的同步位SYN=1，同时选择一个初始序列seq=0x967E1721，记为x）=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.541972 0:19:21:28:33:9D -> 0:16:EC:D2:63:

7、C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20321 IpLen:20 DgmLen:48 DF*A*S* Seq: 0x777D6950 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 28TCP Options (4) => MSS: 1460 NOP NOP SackOK (对方主机收到连接请求报文段后，如同意建立连接，则向本机发送确认，SYN位和ACK位都置1，确认号ack=x+1,即0x967E1722,同时也为自己本机选择

8、一个初始序号seq=0x777D6950，记为y)=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.542070 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19485 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E1722 Ack: 0x7

9、77D6951 Win: 0xFFFF TcpLen: 20（本机接收到对方主机的确认后，还要向对方主机给出确认，ACK置1,确认号ack=y+1,而自己的序号seq=x+1）这样三次握手结束=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.554736 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x5102:21 -> 01:1989 TCP TTL

10、:128 TOS:0x0 ID:20322 IpLen:20 DgmLen:67 DF*AP* Seq: 0x777D6951 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 2032 32 30 2D 4D 69 63 72 6F 73 6F 66 74 20 46 54 220-Microsoft FT50 20 53 65 72 76 69 63 65 0D 0A P Service.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.70

11、6035 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19486 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E1722 Ack: 0x777D696C Win: 0xFFE4 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:

12、56.706076 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20323 IpLen:20 DgmLen:48 DF*AP* Seq: 0x777D696C Ack: 0x967E1722 Win: 0xFFFF TcpLen: 2032 32 30 20 71 77 0D 0A 220 qw.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

13、+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.924799 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19488 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E1722 Ack: 0x777D6974 Win: 0xFFDC TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

14、=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:12.941822 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x4301:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19530 IpLen:20 DgmLen:53 DF*AP* Seq: 0x967E1722 Ack: 0x777D6974 Win: 0xFFDC TcpLen: 2055 53 45 52 20 6C 69 67 6F 6E 67 0D 0A

15、 USER ligong.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:12.954099 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x5902:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20380 IpLen:20 DgmLen:75 DF*AP* Seq: 0x777D6974 Ack: 0x967E172F Win

16、: 0xFFF2 TcpLen: 2033 33 31 20 50 61 73 73 77 6F 72 64 20 72 65 71 331 Password req75 69 72 65 64 20 66 6F 72 20 6C 69 67 6F 6E 67 uired for ligong2E 0D 0A .=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:13.112085 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x

17、800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19531 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.394585 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D ty

18、pe:0x800 len:0x4201:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19556 IpLen:20 DgmLen:52 DF*AP* Seq: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen: 2050 41 53 53 20 73 75 6E 6E 79 0D 0A PASS sunny.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25

19、:22.405151 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20411 IpLen:20 DgmLen:48 DF*AP* Seq: 0x777D6997 Ack: 0x967E173B Win: 0xFFE6 TcpLen: 2032 33 30 2D 61 61 0D 0A 230-aa.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

20、=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.518213 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19557 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E173B Ack: 0x777D699F Win: 0xFFB1 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

21、+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.518242 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x5202:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20415 IpLen:20 DgmLen:68 DF*AP* Seq: 0x777D699F Ack: 0x967E173B Win: 0xFFE6 TcpLen: 2032 33 30 20 55 73 65 72 20 6C 69 67 6

22、F 6E 67 20 230 User ligong 6C 6F 67 67 65 64 20 69 6E 2E 0D 0A logged in.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.736966 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19558 I

23、pLen:20 DgmLen:40 DF*A* Seq: 0x967E173B Ack: 0x777D69BB Win: 0xFF95 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.891743 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x5001:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19

24、570 IpLen:20 DgmLen:66 DF*AP* Seq: 0x967E173B Ack: 0x777D69BB Win: 0xFF95 TcpLen: 2050 4F 52 54 20 31 39 32 2C 31 36 38 2C 31 2C 31 PORT 192,168,1,130 31 2C 37 2C 32 30 31 0D 0A 01,7,201.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.891845 0:19:21:28:33:9D

25、-> 0:16:EC:D2:63:C1 type:0x800 len:0x5402:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20429 IpLen:20 DgmLen:70 DF*AP* Seq: 0x777D69BB Ack: 0x967E1755 Win: 0xFFCC TcpLen: 2032 30 30 20 50 4F 52 54 20 63 6F 6D 6D 61 6E 64 200 PORT command20 73 75 63 63 65 73 73 66 75 6C 2E 0D 0A s

26、uccessful.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.893532 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19573 IpLen:20 DgmLen:46 DF*AP* Seq: 0x967E1755 Ack: 0x777D69D9 Win: 0

27、xFF77 TcpLen: 204C 49 53 54 0D 0A LIST.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.893592 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x6B02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20430 IpLen:20 DgmLen:93 DF*AP* Seq: 0x77

28、7D69D9 Ack: 0x967E175B Win: 0xFFC6 TcpLen: 2031 35 30 20 4F 70 65 6E 69 6E 67 20 41 53 43 49 150 Opening ASCI49 20 6D 6F 64 65 20 64 61 74 61 20 63 6F 6E 6E I mode data conn65 63 74 69 6F 6E 20 66 6F 72 20 2F 62 69 6E 2F ection for /bin/6C 73 2E 0D 0A ls.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

29、+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:28.096275 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19577 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E175B Ack: 0x777D6A0E Win: 0xFF42 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

30、=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:28.096316 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x4E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20436 IpLen:20 DgmLen:64 DF*AP* Seq: 0x777D6A0E Ack: 0x967E175B Win: 0xFFC6 TcpLen: 2032 32 36 20 54 72 61 6E 73 66 65 7

31、2 20 63 6F 6D 226 Transfer com70 6C 65 74 65 2E 0D 0A plete.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:28.315030 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19578 IpLen:20 DgmLe

32、n:40 DF*A* Seq: 0x967E175B Ack: 0x777D6A26 Win: 0xFF2A TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242160 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19629 IpLen:20

33、DgmLen:46 DF*AP* Seq: 0x967E175B Ack: 0x777D6A26 Win: 0xFF2A TcpLen: 2051 55 49 54 0D 0A QUIT.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242259 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:1

34、28 TOS:0x0 ID:20486 IpLen:20 DgmLen:48 DF*AP* Seq: 0x777D6A26 Ack: 0x967E1761 Win: 0xFFC0 TcpLen: 2032 32 31 20 71 71 0D 0A 221 qq.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242346 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3602:

35、21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20487 IpLen:20 DgmLen:40 DF*A*F Seq: 0x777D6A2E Ack: 0x967E1761 Win: 0xFFC0 TcpLen: 20（数据传输结束后，通信的双方都可释放连接，现在双方都处于ESTABLISHED状态，对方主机先向其TCP发出连接释放报文段，并停止再发送数据，主动关闭TCP连接，FIN置1，seq= 0x777D6A2E，记为u,ack=0x967E1761,记为w）=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242443 0:16:EC:D2:63:C1 -> 0: