网络实验三

实验三使用SNORT观察网络数据包和TCP链接

一、实验内容和要求

1、学会安装使用自由软件SNORT

2、截获以太网数据包，并分析和描述TCP连接的三个阶段。

3、截获ARP协议数据包并进行分析

二、实验步骤

（1）第一部分

1、安装snort和winpcap

2、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin

3、执行snort –ev 出现以下屏幕，表示安装完成并能正常使用

4、用ctrl +C结束

5、观察一个完整的TCP连接。

（2）第二部分

1、在snort的工作目录中使用命令

snort –dev –l /snort/log

开始snort并将相应的log文件记录在log目录下。

2、另开一个命令窗口，键入命令

FTP

3、观察ftp命令窗口

4、打开相应的log目录

5、查找到相应的TCP连接，并用文本分析器打开。对照ftp命令窗口中出现的结果，分析刚才的TCP连接过程。

（3）第三部分

观察ARP协议

1、同二，打开SNORT并记录。

2、在另一命令窗口执行以下命令：

arp –a 观察高速缓存

telnet 192.168.0.3 discard 注：和一个在ARP缓存中不存在的主机进行telnet连接。

3、quit

4、分析所捕获的数据包，并且写出arp的全过程。

三、实验结果及分析

[TCP_1122-21.TXT]

三次握手

02/04-15:05:07.952971 0:21:86:23:E8:C6 -> 0:18:B9:42:F7:4D type:0x800 len:0x3E

10.12.27.108:1122 -> 10.12.31.3:21 TCP TTL:128 TOS:0x0 ID:1447 IpLen:20 DgmLen:48 DF

******S* Seq: 0x7DC0FC0D Ack: 0x0 Win: 0xFFFF TcpLen: 28

TCP Options (4) => MSS: 1460 NOP NOP SackOK

注：SYN=1，Seq=x: 0x7DC0FC0D

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+

02/04-15:05:07.953300 0:18:B9:42:F7:4D -> 0:21:86:23:E8:C6 type:0x800 len:0x3E

10.12.31.3:21 -> 10.12.27.108:1122 TCP TTL:127 TOS:0x0 ID:16936 IpLen:20 DgmLen:48 ***A**S* Seq: 0x54964E29 Ack: 0x7DC0FC0E Win: 0x4000 TcpLen: 28

TCP Options (4) => MSS: 1460 NOP NOP SackOK

注：SYN=1，ACK=1,Seq=y=0x54964E29,ack=x+1= 0x7DC0FC0D+1=0x7DC0FC0E

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+

02/04-15:05:07.953313 0:21:86:23:E8:C6 -> 0:18:B9:42:F7:4D type:0x800 len:0x36

10.12.27.108:1122 -> 10.12.31.3:21 TCP TTL:128 TOS:0x0 ID:1448 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x7DC0FC0E Ack: 0x54964E2A Win: 0xFFFF TcpLen: 20

注：ACK=1,Seq=x+1=0x7DC0FC0D+1=0x7DC0FC0E,ack=y+1=0x54964E29+10x54964E2A =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+ (三次握手)

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+ （开始释放）

02/04-15:06:05.833880 0:21:86:23:E8:C6 -> 0:18:B9:42:F7:4D type:0x800 len:0x36

10.12.27.108:1122 -> 10.12.31.3:21 TCP TTL:128 TOS:0x0 ID:1634 IpLen:20 DgmLen:40 DF

***A***F Seq: 0x7DC0FC4A Ack: 0x54964F16 Win: 0xFF13 TcpLen: 20

注：FIN=1，seq=u=0x7DC0FC4A

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+

02/04-15:06:05.834209 0:18:B9:42:F7:4D -> 0:21:86:23:E8:C6 type:0x800 len:0x3C

10.12.31.3:21 -> 10.12.27.108:1122 TCP TTL:127 TOS:0x0 ID:2422 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x54964F16 Ack: 0x7DC0FC4B Win: 0xFFC3 TcpLen: 20

注：ACK=1,seq=v=0x54964F16,ack=u+1=0x7DC0FC4A+1=0x7DC0FC4B

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+

02/04-15:06:05.834214 0:18:B9:42:F7:4D -> 0:21:86:23:E8:C6 type:0x800 len:0x3C

10.12.31.3:21 -> 10.12.27.108:1122 TCP TTL:127 TOS:0x0 ID:2423 IpLen:20 DgmLen:40 DF

***A***F Seq: 0x54964F16 Ack: 0x7DC0FC4B Win: 0xFFC3 TcpLen: 20

注：FIN=1，ACK=1，seq=w= 0x54964F16,ack=u+1=0x7DC0FC4A+1=0x7DC0FC4B

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+