實驗名稱:使用SNORT觀察網絡數據包和TCP連接 |
實驗地點: |
所使用的工具軟件及環境: Windows ,snort、winpcap
|
|
一、實驗目的: 通過本實驗,熟悉SNORT的使用,通過抓包分析,進一步加深對協議工作過程的理解。 |
|
二、實驗內容:
|
|
三、實驗步驟: 第一部分 安裝snort
第二部分 觀察TCP連接 1、在snort的工作目錄中使用命令 snort –dev –l /snort/log 開始snort並將相應的log文件記錄在log目錄下。 2、另開一個命令窗口,鍵入命令 FTP ftp.zist.edu.cn 3、觀察ftp命令窗口 4、打開相應的log目錄 5、查找到相應的TCP連接,並用文本分析器打開。對照ftp命令窗口中出現的結果,分析剛纔的TCP連接過程。 第三部分 觀察ARP協議 1、同二,打開SNORT並記錄。 2、在另一命令窗口執行以下命令:
4、分析所捕獲的數據包,並且寫出arp的全過程。
|
|
四、實驗結果與數據分析: 第一部分 安裝snort 1、下載Snort_2_9_16_Installer.x86.exe
2、下載WinPcap_4_1_3.exe
3、安裝snort和winpcap 4、打開DOS命令窗口COMMAND。進入snort的安裝目錄。cd /snort/bin 5、執行snort –ev 出現以下屏幕,表示安裝完成並能正常使用 6、用ctrl +C結束。 7、觀察一個完整的TCP連接。 第二部分 觀察TCP連接 1、在snort的工作目錄中使用命令 snort –dev –l /snort/log 開始snort並將相應的log文件記錄在log目錄下。 2、另開一個命令窗口,鍵入命令 FTP ftp.zist.edu.cn 3、觀察ftp命令窗口 4、打開相應的log目錄 5、查找到相應的TCP連接,並用文本分析器打開。對照ftp命令窗口中出現的結果,分析剛纔的TCP連接過程。
第三部分 觀察ARP協議 1、同二,打開SNORT並記錄。 2、在另一命令窗口執行以下命令:
3、分析所捕獲的數據包,並且寫出arp的全過程。 分析ARP協議的請求包,首先在frame幀中該數據包的大小爲42字節,Ethernet部分數據包目的地址是ff:ff:ff:ff:ff:ff,這是一個廣播地址會發送當前網段所有設備,接着是arp的請求頭部信息,目標mac地址是未知的,因此以全0的形式顯示。 分析arp的響應包,主要區別爲數據包操作碼Opcode爲2表明爲響應包,發送方的mac地址和ip地址變成目標MAC地址和IP地址,即表示我們已經獲取到了對方mac地址了。
|
|
五、實驗心得體會: 通過本實驗,熟悉SNORT的使用,通過抓包分析,進一步加深對協議工作過程的理解。對TCP的建立連接過程有了更深入的瞭解,arp和ftp命令有了進一步的鞏固。 |
參考文章
https://shentuzhigang.blog.csdn.net/article/details/106351455
https://blog.csdn.net/LL845876425/article/details/90143936
https://www.cnblogs.com/lsdb/p/10715886.html
https://wenku.baidu.com/view/957a8a4f02020740be1e9ba2.html
https://jingyan.baidu.com/article/e8cdb32b06ce2b37052bad82.html