一、實驗目的及要求
1. 學習snort的工作模式
2.學習數據包記錄模式的使用過程
3.對命令參數進行學習
二、實驗設備(環境)及要求
PC機, VC++等,虛擬雲平臺
三、實驗內容與步驟
1.嗅探器模式
(1).在192.168.1.2的終端上輸入“snort -v”,進行snort啓動;
(2).分析snort啓動信息;
(3).登錄客戶端192.168.1.3,輸入“ping 192.168.1.2 –t”;
(4).打開192.168.1.2的終端,輸入“snort -i eth0 -vde”;
(5).對數據包進行分析;
2.數據包記錄器模式
(1)進入192.168.1.2服務器的/var/log/snort文件夾,並查看文件內容;
(2)輸入“rm –rf snort.log.*”,刪除snort的snort文件
(3)輸入”snort de –l /var/log/snort”,啓動snort,記錄詳細信息到var/log/snort
(4)登錄客戶端192.168.1.3,讓它去ping192.168.1.2
(5)關閉snort,查看文件,發現已經產生log文件
(6)查看log文件(由於日誌文件爲acsii格式,所以cat命令無法查看)
四、實驗結果與數據處理
1.嗅探器模式:snort啓動
2.snort啓動信息分析
(1)運行模式
(2)初始化輸出插件部分
(3)snort的版本和版權信息
(4)數據包控制檯部分
3.分析捕獲的數據包
捕獲時間:11/19-14:26:05
源mac:5A:5A:8B:FC:56:19 目的mac:C0:B4:0E:79:24:DF
上層協議:IP(0x800)
長度:0x4A
源IP:192.168.1.2 目的IP:192.168.1.3
TTL:64
TOS:0
ID:2580
IP長度:20
IP載荷:84
包類型:ICMP
4.數據包記錄器模式:查看文件內容
5.刪除snort的snort文件
6.啓動snort,記錄詳細信息到var/log/snort
7.由於沒有-v參數,所以數據包信息不會在終端顯示
8.關閉snort,查看文件,發現已經產生log文件
9.查看log文件(由於日誌文件爲acsii格式,所以cat命令無法查看)
五、分析與討論
通過這次實驗,分析了捕獲的包部分的結構信息,學習了嗅探器模式和數據包記錄模式,明白了嗅探器模式僅僅是從網絡上讀取數據包並作爲連續不斷的流顯示在終端上,以及數據包記錄模式是把數據包記錄到硬盤上,再通過對文件的讀取或者解析在數據包中發現需要的信息。