使用SNORT观察网络数据包和TCP链接

任课教师：舒挺，张芳

《计算机网络》

（2013-2014学年第2学期）

实

验

报

告

学号：2012329620006

姓名：章钰沁

班级：12级计算机科学与技术（1）班

实验三：使用SNORT观察网络数据包和TCP链接

一、实验内容和要求

●学会安装使用自由软件SNORT

●截获以太网数据包，并分析和描述TCP连接的三个阶段。

●截获ARP协议数据包并进行分析

二、实验步骤

第一部分安装snort

1、下载snort-2_0_4.exe 网址：/dl/binaries/win32/snort-2_0_4.exe

2、下载WinPcap_3_0.exe http://winpcap.polito.it/install/bin/WinPcap_3_0.exe

3、安装snort和winpcap

4、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin

5、执行snort –ev 出现以下屏幕，表示安装完成并能正常使用

6、用ctrl +C结束。

7、观察一个完整的TCP连接。

第二部分

1、在snort的工作目录中使用命令

snort –dev –l /snort/log

开始snort并将相应的log文件记录在log目录下。

2、另开一个命令窗口，键入命令

FTP

3、观察ftp命令窗口

4、打开相应的log目录

5、查找到相应的TCP连接，并用文本分析器打开。对照ftp命令窗口中出现的结果，分析刚

才的TCP连接过程。

第三部分

观察ARP协议

1、同二，打开SNORT并记录。

2、在另一命令窗口执行以下命令：

arp –a 观察高速缓存

telnet 192.168.0.3 discard 注：和一个在ARP缓存中不存在的主机进行telnet连接。

quit

3、quit

4、分析所捕获的数据包，并且写出arp的全过程。

三、实验结果

第一部分

1、先在控制面板——>用户帐户中更改密码，如下图所示：

2、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin

3、执行snort –ev ，然后按ctrl+c后，出现以下屏幕

第二部分

4、在snort的工作目录中使用命令

snort –dev –l /snort/log

显示结果如下图所示：

则snort文件夹中的log文件夹的内容如下图所示：

log文件夹中的arp.txt文本文件内容如下图所示

则本机的数据包要告诉这三个主机

5、另开一个命令窗口，键入命令

FTP10.16.23.2，并且输dir，查看ip地址为10.16.23.2的电脑的相应目录结果如下图所示：

接下来抓取数据包

在控制面板中设置默认FTP站点（本机ip地址为192.168.1.101）

对方主机（ip地址为192.168.1.102）的消息设置如下图所示：

先在对方C:\Inetpub\ftproot\中，新建一个文件夹，存放ftp服务器端的数据，用来检验是否连接上对方电脑

连接对方主机ip，即192.168.1.102，如下图所示：

则在对方主机的log文件夹中的192.168.1.101（本机ip）文件夹中的TCP_1989-21.txt文件内容如下：

01/01-22:24:56.541916 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3E

192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19484 IpLen:20 DgmLen:48 DF

******S* Seq: 0x967E1721 Ack: 0x0 Win: 0xFFFF TcpLen: 28

TCP Options (4) => MSS: 1460 NOP NOP SackOK

（先是本机向对方主机192.168.1.102发出连接请求报文段，这时首部中的同步位SYN=1，同时选择一个初始序列seq=0x967E1721，记为x）

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:24:56.541972 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E

192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20321 IpLen:20 DgmLen:48 DF

***A**S* Seq: 0x777D6950 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 28

TCP Options (4) => MSS: 1460 NOP NOP SackOK

(对方主机收到连接请求报文段后，如同意建立连接，则向本机发送确认，SYN位和ACK位都置1，确认号ack=x+1,即0x967E1722,同时也为自己本机选择一个初始序号seq=0x777D6950，记为y)

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:24:56.542070 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C

192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19485 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x967E1722 Ack: 0x777D6951 Win: 0xFFFF TcpLen: 20

（本机接收到对方主机的确认后，还要向对方主机给出确认，ACK置1,确认号ack=y+1,而自己的序号seq=x+1）这样三次握手结束

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:24:56.554736 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x51

192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20322 IpLen:20 DgmLen:67 DF

***AP*** Seq: 0x777D6951 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 20

32 32 30 2D 4D 69 63 72 6F 73 6F 66 74 20 46 54 220-Microsoft FT

50 20 53 65 72 76 69 63 65 0D 0A P Service..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:24:56.706035 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C

192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19486 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x967E1722 Ack: 0x777D696C Win: 0xFFE4 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/01-22:24:56.706076 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E