1、任課教師： 舒挺，張芳計算機網絡（2013-2014學年第2學期）實驗報告學號：2012329620006姓名：章鈺沁班級：12級計算機科學與技術（1）班實驗三：使用SNORT觀察網絡數據包和TCP鏈接一、實驗內容和要求l 學會安裝使用自由軟件SNORTl 截獲以太網數據包，并分析和描述TCP連接的三個階段。l 截獲ARP協議數據包并進行分析二、實驗步驟第一部分安裝snort1、 下載snort-2_0_4.exe 網址：/dl/binaries/win32/snort-2_0_4.exe2、 下載WinPcap_3_0.exe http:/winpcap

2、.polito.it/install/bin/WinPcap_3_0.exe3、 安裝snort和winpcap4、 打開DOS命令窗口COMMAND。進入snort的安裝目錄。Cd /snort/bin5、 執行snort ev 出現以下屏幕，表示安裝完成并能正常使用6、 用ctrl +C結束。7、 觀察一個完整的TCP連接。 第二部分1、 在snort的工作目錄中使用命令snort dev l /snort/log 開始snort并將相應的log文件記錄在log目錄下。2、 另開一個命令窗口，鍵入命令FTP3、 觀察ftp命令窗口4、 打開相應的log目錄5、 查找到相應的TCP連接，并用

3、文本分析器打開。對照ftp命令窗口中出現的結果，分析剛才的TCP連接過程。第三部分觀察ARP協議1、 同二，打開SNORT并記錄。2、 在另一命令窗口執行以下命令：arp a 觀察高速緩存telnet discard 注：和一個在ARP緩存中不存在的主機進行telnet連接。quit 3、 quit4、 分析所捕獲的數據包，并且寫出arp的全過程。三、實驗結果第一部分1、先在控制面板>用戶帳戶中更改密碼，如下圖所示：2、打開DOS命令窗口COMMAND。進入snort的安裝目錄。Cd /snort/bin3、執行snort ev ，然后按ctrl+c后，出現以下屏

4、幕第二部分4、在snort的工作目錄中使用命令snort dev l /snort/log 顯示結果如下圖所示：則snort文件夾中的log文件夾的內容如下圖所示：log文件夾中的arp.txt文本文件內容如下圖所示則本機的數據包要告訴這三個主機5、另開一個命令窗口，鍵入命令FTP，并且輸dir，查看ip地址為的電腦的相應目錄結果如下圖所示：接下來抓取數據包在控制面板中設置默認FTP站點（本機ip地址為01）對方主機（ip地址為02）的消息設置如下圖所示：先在對方C:Inetpubftproot中，新建一個文件

5、夾，存放ftp服務器端的數據，用來檢驗是否連接上對方電腦連接對方主機ip，即02，如下圖所示：則在對方主機的log文件夾中的01（本機ip）文件夾中的TCP_1989-21.txt文件內容如下：01/01-22:24:56.541916 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3E01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19484 IpLen:20 DgmLen:48 DF*S* Seq:

6、 0x967E1721 Ack: 0x0 Win: 0xFFFF TcpLen: 28TCP Options (4) => MSS: 1460 NOP NOP SackOK （先是本機向對方主機02發出連接請求報文段，這時首部中的同步位SYN=1，同時選擇一個初始序列seq=0x967E1721，記為x）=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.541972 0:19:21:28:33:9D -> 0:16:EC:D2:63:

7、C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20321 IpLen:20 DgmLen:48 DF*A*S* Seq: 0x777D6950 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 28TCP Options (4) => MSS: 1460 NOP NOP SackOK (對方主機收到連接請求報文段后，如同意建立連接，則向本機發送確認，SYN位和ACK位都置1，確認號ack=x+1,即0x967E1722,同時也為自己本機選擇

8、一個初始序號seq=0x777D6950，記為y)=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.542070 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19485 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E1722 Ack: 0x7

9、77D6951 Win: 0xFFFF TcpLen: 20（本機接收到對方主機的確認后，還要向對方主機給出確認，ACK置1,確認號ack=y+1,而自己的序號seq=x+1）這樣三次握手結束=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.554736 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x5102:21 -> 01:1989 TCP TTL

10、:128 TOS:0x0 ID:20322 IpLen:20 DgmLen:67 DF*AP* Seq: 0x777D6951 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 2032 32 30 2D 4D 69 63 72 6F 73 6F 66 74 20 46 54 220-Microsoft FT50 20 53 65 72 76 69 63 65 0D 0A P Service.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.70

11、6035 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19486 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E1722 Ack: 0x777D696C Win: 0xFFE4 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:

12、56.706076 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20323 IpLen:20 DgmLen:48 DF*AP* Seq: 0x777D696C Ack: 0x967E1722 Win: 0xFFFF TcpLen: 2032 32 30 20 71 77 0D 0A 220 qw.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

13、+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:24:56.924799 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19488 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E1722 Ack: 0x777D6974 Win: 0xFFDC TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

14、=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:12.941822 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x4301:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19530 IpLen:20 DgmLen:53 DF*AP* Seq: 0x967E1722 Ack: 0x777D6974 Win: 0xFFDC TcpLen: 2055 53 45 52 20 6C 69 67 6F 6E 67 0D 0A

15、 USER ligong.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:12.954099 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x5902:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20380 IpLen:20 DgmLen:75 DF*AP* Seq: 0x777D6974 Ack: 0x967E172F Win

16、: 0xFFF2 TcpLen: 2033 33 31 20 50 61 73 73 77 6F 72 64 20 72 65 71 331 Password req75 69 72 65 64 20 66 6F 72 20 6C 69 67 6F 6E 67 uired for ligong2E 0D 0A .=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:13.112085 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x

17、800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19531 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.394585 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D ty

18、pe:0x800 len:0x4201:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19556 IpLen:20 DgmLen:52 DF*AP* Seq: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen: 2050 41 53 53 20 73 75 6E 6E 79 0D 0A PASS sunny.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25

19、:22.405151 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20411 IpLen:20 DgmLen:48 DF*AP* Seq: 0x777D6997 Ack: 0x967E173B Win: 0xFFE6 TcpLen: 2032 33 30 2D 61 61 0D 0A 230-aa.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

20、=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.518213 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19557 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E173B Ack: 0x777D699F Win: 0xFFB1 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

21、+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.518242 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x5202:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20415 IpLen:20 DgmLen:68 DF*AP* Seq: 0x777D699F Ack: 0x967E173B Win: 0xFFE6 TcpLen: 2032 33 30 20 55 73 65 72 20 6C 69 67 6

22、F 6E 67 20 230 User ligong 6C 6F 67 67 65 64 20 69 6E 2E 0D 0A logged in.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:22.736966 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19558 I

23、pLen:20 DgmLen:40 DF*A* Seq: 0x967E173B Ack: 0x777D69BB Win: 0xFF95 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.891743 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x5001:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19

24、570 IpLen:20 DgmLen:66 DF*AP* Seq: 0x967E173B Ack: 0x777D69BB Win: 0xFF95 TcpLen: 2050 4F 52 54 20 31 39 32 2C 31 36 38 2C 31 2C 31 PORT 192,168,1,130 31 2C 37 2C 32 30 31 0D 0A 01,7,201.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.891845 0:19:21:28:33:9D

25、-> 0:16:EC:D2:63:C1 type:0x800 len:0x5402:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20429 IpLen:20 DgmLen:70 DF*AP* Seq: 0x777D69BB Ack: 0x967E1755 Win: 0xFFCC TcpLen: 2032 30 30 20 50 4F 52 54 20 63 6F 6D 6D 61 6E 64 200 PORT command20 73 75 63 63 65 73 73 66 75 6C 2E 0D 0A s

26、uccessful.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.893532 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19573 IpLen:20 DgmLen:46 DF*AP* Seq: 0x967E1755 Ack: 0x777D69D9 Win: 0

27、xFF77 TcpLen: 204C 49 53 54 0D 0A LIST.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:27.893592 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x6B02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20430 IpLen:20 DgmLen:93 DF*AP* Seq: 0x77

28、7D69D9 Ack: 0x967E175B Win: 0xFFC6 TcpLen: 2031 35 30 20 4F 70 65 6E 69 6E 67 20 41 53 43 49 150 Opening ASCI49 20 6D 6F 64 65 20 64 61 74 61 20 63 6F 6E 6E I mode data conn65 63 74 69 6F 6E 20 66 6F 72 20 2F 62 69 6E 2F ection for /bin/6C 73 2E 0D 0A ls.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

29、+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:28.096275 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19577 IpLen:20 DgmLen:40 DF*A* Seq: 0x967E175B Ack: 0x777D6A0E Win: 0xFF42 TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

30、=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:28.096316 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x4E02:21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20436 IpLen:20 DgmLen:64 DF*AP* Seq: 0x777D6A0E Ack: 0x967E175B Win: 0xFFC6 TcpLen: 2032 32 36 20 54 72 61 6E 73 66 65 7

31、2 20 63 6F 6D 226 Transfer com70 6C 65 74 65 2E 0D 0A plete.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:28.315030 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19578 IpLen:20 DgmLe

32、n:40 DF*A* Seq: 0x967E175B Ack: 0x777D6A26 Win: 0xFF2A TcpLen: 20=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242160 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C01:1989 -> 02:21 TCP TTL:128 TOS:0x0 ID:19629 IpLen:20

33、DgmLen:46 DF*AP* Seq: 0x967E175B Ack: 0x777D6A26 Win: 0xFF2A TcpLen: 2051 55 49 54 0D 0A QUIT.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242259 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E02:21 -> 01:1989 TCP TTL:1

34、28 TOS:0x0 ID:20486 IpLen:20 DgmLen:48 DF*AP* Seq: 0x777D6A26 Ack: 0x967E1761 Win: 0xFFC0 TcpLen: 2032 32 31 20 71 71 0D 0A 221 qq.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242346 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3602:

35、21 -> 01:1989 TCP TTL:128 TOS:0x0 ID:20487 IpLen:20 DgmLen:40 DF*A*F Seq: 0x777D6A2E Ack: 0x967E1761 Win: 0xFFC0 TcpLen: 20（數據傳輸結束后，通信的雙方都可釋放連接，現在雙方都處于ESTABLISHED狀態，對方主機先向其TCP發出連接釋放報文段，并停止再發送數據，主動關閉TCP連接，FIN置1，seq= 0x777D6A2E，記為u,ack=0x967E1761,記為w）=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+01/01-22:25:47.242443 0:16:EC:D2:63:C1 -> 0: