计算机网络实验报告
实验三:使用SNORT观察网络数据包和TCP链接
一、实验目的
(1)学会安装使用自由软件SNORT
(2)截获以太网数据包,并分析和描述TCP连接的三个阶段。 (3)截获ARP协议数据包并进行分析
二、实验内容
第一部分 安装snort 第二部分 连接ftp 第三部分 观察ARP协议
三、实验结果
第一部分:连接TCP 第二部分:
在snort的工作目录中使用命令,开始snort并将相应的log文件记录在log目录下。
第一次握手数据:
01/02-03:47: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x3E -> TCP TTL:128 TOS:0x0 ID:8238 IpLen:20 DgmLen:48 DF ******S* Seq: 0xF3157356 Ack: 0x0 Win: 0xFFFF TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 第二次握手数据:
01/02-03:47: 90:94:E4:3C:90:1C -> 0:19:21:28:33:96 type:0x800 len:0x3E -> TCP TTL:124 TOS:0x0 ID:12005 IpLen:20 DgmLen:48
***A**S* Seq: 0xE5092B02 Ack: 0xF3157357 Win: 0x4000 TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 第三次握手数据:
01/02-03:47: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x36 -> TCP TTL:128 TOS:0x0 ID:8239 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xF3157357 Ack: 0xE5092B03 Win: 0xFFFF TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:47: 90:94:E4:3C:90:1C -> 0:19:21:28:33:96 type:0x800 len:0x5D -> TCP TTL:124 TOS:0x0 ID:12006 IpLen:20 DgmLen:79 DF
***AP*** Seq: 0xE5092B03 Ack: 0xF3157357 Win: 0xFFFF TcpLen: 20 32 32 30 20 BB B6 D3 AD B5 C7 C2 BD BC C6 CB E3 220 ............ BB FA BB F9 B4 A1 BD CC D1 D0 CA D2 46 54 50 B7 ............FTP. FE CE F1 C6 F7 0D 0A .......
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:47: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x36 -> TCP TTL:128 TOS:0x0 ID:8240 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xF3157357 Ack: 0xE5092B2A Win: 0xFFD8 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ TCP连接后输入用户名的报文:
01/02-03:47: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x3F -> TCP TTL:128 TOS:0x0 ID:8241 IpLen:20 DgmLen:49 DF
***AP*** Seq: 0xF3157357 Ack: 0xE5092B2A Win: 0xFFD8 TcpLen: 20 55 53 45 52 20 7A 66 0D 0A USER zf..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ TCP连接后输入用户密码的报文:
01/02-03:47: 90:94:E4:3C:90:1C -> 0:19:21:28:33:96 type:0x800 len:0x5A -> TCP TTL:124 TOS:0x0 ID:12091 IpLen:20 DgmLen:76 DF
***AP*** Seq: 0xE5092B2A Ack: 0xF3157360 Win: 0xFFF6 TcpLen: 20
33 33 31 20 55 73 65 72 20 6E 61 6D 65 20 6F 6B 331 User name ok 61 79 2C 20 6E 65 65 20 70 61 73 73 77 6F 72 ay, need passwor 2E 0D 0A d...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:47: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x36 -> TCP TTL:128 TOS:0x0 ID:8242 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xF3157360 Ack: 0xE5092B4E Win: 0xFFB4 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:47: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x43 -> TCP TTL:128 TOS:0x0 ID:8243 IpLen:20 DgmLen:53 DF
***AP*** Seq: 0xF3157360 Ack: 0xE5092B4E Win: 0xFFB4 TcpLen: 20 50 41 53 53 20 31 32 33 34 35 36 0D 0A PASS 123456..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:47: 90:94:E4:3C:90:1C -> 0:19:21:28:33:96 type:0x800 len:0x54 -> TCP TTL:124 TOS:0x0 ID:12212 IpLen:20 DgmLen:70 DF
***AP*** Seq: 0xE5092B4E Ack: 0xF315736D Win: 0xFFE9 TcpLen: 20 32 33 30 20 55 73 65 72 20 6C 6F 67 67 65 20 230 User logged 69 6E 2C 20 70 72 6F 63 65 65 2E 0D 0A in, proceed...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:47: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x36 -> TCP TTL:128 TOS:0x0 ID:8244 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xF315736D Ack: 0xE5092B6C Win: 0xFF96 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:50: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x3C -> TCP TTL:128 TOS:0x0 ID:8317 IpLen:20 DgmLen:46 DF
***AP*** Seq: 0xF315736D Ack: 0xE5092B6C Win: 0xFF96 TcpLen: 20 51 55 49 54 0D 0A QUIT..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:50: 90:94:E4:3C:90:1C -> 0:19:21:28:33:96 type:0x800 len:0x44 -> TCP TTL:124 TOS:0x0 ID:17414 IpLen:20 DgmLen:54 DF
***AP*** Seq: 0xE5092B6C Ack: 0xF3157373 Win: 0xFFE3 TcpLen: 20 32 32 31 20 47 6F 6F 62 79 65 21 0D 0A 221 Goodbye!..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:50: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x36 -> TCP TTL:128 TOS:0x0 ID:8318 IpLen:20 DgmLen:40 DF
***A***F Seq: 0xF3157373 Ack: 0xE5092B7A Win: 0xFF88 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:50: 90:94:E4:3C:90:1C -> 0:19:21:28:33:96 type:0x800 len:0x3C -> TCP TTL:124 TOS:0x0 ID:17415 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xE5092B7A Ack: 0xF3157374 Win: 0xFFE3 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:50: 90:94:E4:3C:90:1C -> 0:19:21:28:33:96 type:0x800 len:0x3C -> TCP TTL:124 TOS:0x0 ID:17416 IpLen:20 DgmLen:40 DF
***A***F Seq: 0xE5092B7A Ack: 0xF3157374 Win: 0xFFE3 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/02-03:50: 0:19:21:28:33:96 -> 90:94:E4:3C:90:1C type:0x800 len:0x36 -> TCP TTL:128 TOS:0x0 ID:8319 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xF3157374 Ack: 0xE5092B7B Win: 0xFF88 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
第三部分: C:\\Snort\\bin>
C:\\Snort\\bin>arp -a
Interface: Interface Adress Physical Address Type 00-e0-4c-73-e6-2e dynamic 00-e0-4c-73-b9-0a dynamic
C:\\Snort\\bin>telnet 正在连接到不能打开到主机的连接,在端口23:连接失败
C:\\Snort\\bin>arp -a
Interface: Interface Adress Physical Address Type 00-e0-4c-73-e6-2e dynamic 00-e0-4c-73-b9-0a dynamic 90-b1-1c-12-7a-e3 dynamic
C:\\Snort\\bin>
ARP文件:
四、实验心得
通过本次试验,学会了安装使用自由软件SNORT,截获以太网数据包,并分析和描述TCP连接的三个阶段,三次握手,四次释放。截获ARP协议数据包并进行分析。在截获数据包过程中由于时间等得不够久导致得到的数据并不完整,重复操作以后。故并能够自行添加一个网址,进行请求—应答操作。01/02-03:16: ARP who-has reply 90:B1:1C:12:7A:E3是回复的物理地址。
tell 是将 发给。01/02-03:16: ARP
