當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

《计算机网络》实验报告——使用SNORT观察网络数据包和TCP连接

發(fā)布時間：2024/10/5 编程问答 37 豆豆

生活随笔收集整理的這篇文章主要介紹了《计算机网络》实验报告——使用SNORT观察网络数据包和TCP连接小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

實驗名稱：使用SNORT觀察網(wǎng)絡(luò)數(shù)據(jù)包和TCP連接

實驗地點：

所使用的工具軟件及環(huán)境：

Windows ，snort、winpcap

一、實驗?zāi)康?#xff1a;

通過本實驗，熟悉SNORT的使用，通過抓包分析，進(jìn)一步加深對協(xié)議工作過程的理解。

二、實驗內(nèi)容：

??學(xué)會安裝使用自由軟件SNORT

截獲以太網(wǎng)數(shù)據(jù)包，并分析和描述TCP連接的三個階段。

截獲ARP協(xié)議數(shù)據(jù)包并進(jìn)行分析

三、實驗步驟：

第一部分　安裝snort

下載snort-2_0_4.exe 網(wǎng)址：http://www.snort.org/dl/binaries/win32/snort-2_0_4.exe

下載WinPcap_3_0.exe　 http://winpcap.polito.it/install/bin/WinPcap_3_0.exe

安裝snort和winpcap

打開DOS命令窗口COMMAND。進(jìn)入snort的安裝目錄。cd /snort/bin

執(zhí)行snort –ev 出現(xiàn)以下屏幕，表示安裝完成并能正常使用

用ctrl +C結(jié)束。

觀察一個完整的TCP連接。

第二部分 觀察TCP連接

1、在snort的工作目錄中使用命令

snort? –dev? –l? /snort/log

開始snort并將相應(yīng)的log文件記錄在log目錄下。

2、另開一個命令窗口，鍵入命令

FTP　ftp.zist.edu.cn

3、觀察ftp命令窗口

4、打開相應(yīng)的log目錄

5、查找到相應(yīng)的TCP連接，并用文本分析器打開。對照ftp命令窗口中出現(xiàn)的結(jié)果，分析剛才的TCP連接過程。

第三部分 觀察ARP協(xié)議

1、同二，打開SNORT并記錄。

2、在另一命令窗口執(zhí)行以下命令：

arp –a 觀察高速緩存

telnet 192.168.0.3 discard 注：和一個在ARP緩存中不存在的主機(jī)進(jìn)行telnet連接。

quit

4、分析所捕獲的數(shù)據(jù)包，并且寫出arp的全過程。

四、實驗結(jié)果與數(shù)據(jù)分析：

第一部分　安裝snort

1、下載Snort_2_9_16_Installer.x86.exe

網(wǎng)址：https://snort.org/downloads/snort/Snort_2_9_16_Installer.x86.exe

2、下載WinPcap_4_1_3.exe

網(wǎng)址： https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe

3、安裝snort和winpcap

4、打開DOS命令窗口COMMAND。進(jìn)入snort的安裝目錄。cd /snort/bin

5、執(zhí)行snort –ev 出現(xiàn)以下屏幕，表示安裝完成并能正常使用

6、用ctrl +C結(jié)束。

7、觀察一個完整的TCP連接。

第二部分 觀察TCP連接

1、在snort的工作目錄中使用命令

snort? –dev? –l? /snort/log

開始snort并將相應(yīng)的log文件記錄在log目錄下。

2、另開一個命令窗口，鍵入命令

???????????? FTP　ftp.zist.edu.cn

3、觀察ftp命令窗口

4、打開相應(yīng)的log目錄

5、查找到相應(yīng)的TCP連接，并用文本分析器打開。對照ftp命令窗口中出現(xiàn)的結(jié)果，分析剛才的TCP連接過程。

TCP連接過程分析

分析TCP連接的開始和終止過程，TCP連接的每一數(shù)據(jù)報報文的作用分析。

192.168.123.88??????? 10.16.23.2?????? TCP? 66??? 1843 → 21 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=1 SACK_PERM=1

（先是本機(jī)向?qū)Ψ街鳈C(jī)192.168.1.102發(fā)出連接請求報文段，這時首部中的同步位SYN=1，同時選擇一個初始序列Sequence number (raw): 4250625629，記為x）

10.16.23.2??????? 192.168.123.88?????? TCP? 66??? 21 → 1843 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 MSS=1460 WS=1 SACK_PERM=1

（對方主機(jī)收到連接請求報文段后，如同意建立連接，則向本機(jī)發(fā)送確認(rèn)，SYN位和ACK位都置1，確認(rèn)號ack=x+1,即Acknowledgment number (raw): 4250625630，同時也為自己本機(jī)選擇一個初始序號Sequence number (raw): 3203977215，記為y）

192.168.123.88??????? 10.16.23.2?????? TCP? 54??? 1843 → 21 [ACK] Seq=1 Ack=1 Win=8192 Len=0

（本機(jī)接收到對方主機(jī)的確認(rèn)后，還要向?qū)Ψ街鳈C(jī)給出確認(rèn)，ACK置1,確認(rèn)號ack=y+1,而自己的序號seq=x+1）這樣三次握手結(jié)束

192.168.123.88??????? 10.16.23.2?????? TCP? 54??? 1843 → 21 [FIN, ACK] Seq=55 Ack=141 Win=8052 Len=0

（數(shù)據(jù)傳輸結(jié)束后，通信的雙方都可釋放連接，現(xiàn)在雙方都處于ESTABLISHED狀態(tài)，對方主機(jī)先向其TCP發(fā)出連接釋放報文段，并停止再發(fā)送數(shù)據(jù)，主動關(guān)閉TCP連接，FIN置1，Sequence number (raw): 4250625684，記為u, Acknowledgment number (raw): 3203977356,記為w）

10.16.23.2??????? 192.168.123.88?????? TCP? 60??? 21 → 1843 [ACK] Seq=141 Ack=56 Win=65481 Len=0

（本機(jī)收到連接釋放報文段后即發(fā)出確認(rèn)，確認(rèn)號ack=u+1。）

10.16.23.2??????? 192.168.123.88?????? TCP? 60??? 21 → 1843 [FIN, ACK] Seq=141 Ack=56 Win=65481 Len=0

（若本機(jī)已經(jīng)沒有要向A發(fā)送的數(shù)據(jù)，其應(yīng)用進(jìn)程就通知TCP釋放連接，這時FIN置1，本機(jī)還必須重復(fù)上次已發(fā)送過的確認(rèn)號ack=u+1）

192.168.123.88??????? 10.16.23.2?????? TCP? 54??? 1843 → 21 [ACK] Seq=56 Ack=142 Win=8052 Len=0

（對方主機(jī)在收到本機(jī)的連接釋放報文段后，必須對此發(fā)出確認(rèn)，ACK置1，seq=u+1,ack=w+1）

觀察TCP連接中的交互式的輸入，分析鍵入用戶名和密碼時的數(shù)據(jù)報文。

192.168.123.88??????? 10.16.23.2?????? FTP? 72??? Request: USER 20200616888

（輸入用戶名）

10.16.23.2??????? 192.168.123.88?????? TCP? 60??? 21 → 1843 [ACK] Seq=61 Ack=33 Win=65503 Len=0

（確認(rèn)報文）

10.16.23.2??????? 192.168.123.88?????? FTP? 90??? Response: 331 User name okay, need password.

（用戶名存在回復(fù)）

192.168.123.88??????? 10.16.23.2?????? TCP? 54??? 1843 → 21 [ACK] Seq=33 Ack=97 Win=8096 Len=0

（確認(rèn)報文）

192.168.123.88??????? 10.16.23.2?????? FTP? 70??? Request: PASS zjlgdx110

（輸入密碼）

10.16.23.2??????? 192.168.123.88?????? TCP? 60??? 21 → 1843 [ACK] Seq=97 Ack=49 Win=65487 Len=0

（確認(rèn)報文）

10.16.23.2??????? 192.168.123.88?????? FTP? 84??? Response: 230 User logged in, proceed.

（登錄成功回復(fù)）

192.168.123.88??????? 10.16.23.2?????? TCP? 54??? 1843 → 21 [ACK] Seq=49 Ack=127 Win=8066 Len=0

（確認(rèn)報文）

TCP的編號及確認(rèn)并觀察TCP流量控制的機(jī)理。

原理：讓發(fā)送方的發(fā)送速率不要太快，要讓接收方來得及接收。

原則：發(fā)送方的發(fā)送窗口不能超過接收方給出的接收窗口的數(shù)值。窗口單位是字節(jié)，不是報文段。[通過TCP首部窗口字段（rwnd）調(diào)整接收方的發(fā)送窗口數(shù)值大小]

第三部分 觀察ARP協(xié)議

1、同二，打開SNORT并記錄。

2、在另一命令窗口執(zhí)行以下命令：

arp –a 觀察高速緩存

telnet 192.168.0.3 discard 注：和一個在ARP緩存中不存在的主機(jī)進(jìn)行telnet連接。

quit??

3、分析所捕獲的數(shù)據(jù)包，并且寫出arp的全過程。

分析ARP協(xié)議的請求包，首先在frame幀中該數(shù)據(jù)包的大小為42字節(jié)，Ethernet部分?jǐn)?shù)據(jù)包目的地址是ff:ff:ff:ff:ff:ff，這是一個廣播地址會發(fā)送當(dāng)前網(wǎng)段所有設(shè)備，接著是arp的請求頭部信息，目標(biāo)mac地址是未知的，因此以全0的形式顯示。

分析arp的響應(yīng)包，主要區(qū)別為數(shù)據(jù)包操作碼Opcode為2表明為響應(yīng)包，發(fā)送方的mac地址和ip地址變成目標(biāo)MAC地址和IP地址，即表示我們已經(jīng)獲取到了對方mac地址了。

五、實驗心得體會：

通過本實驗，熟悉SNORT的使用，通過抓包分析，進(jìn)一步加深對協(xié)議工作過程的理解。對TCP的建立連接過程有了更深入的了解，arp和ftp命令有了進(jìn)一步的鞏固。

參考文章

https://shentuzhigang.blog.csdn.net/article/details/106351455

https://blog.csdn.net/LL845876425/article/details/90143936

https://www.cnblogs.com/lsdb/p/10715886.html

https://wenku.baidu.com/view/957a8a4f02020740be1e9ba2.html

https://jingyan.baidu.com/article/e8cdb32b06ce2b37052bad82.html

https://zhidao.baidu.com/question/433879546.html

http://www.360doc.com/content/08/0114/14/25127_972488.shtml

總結(jié)

以上是生活随笔為你收集整理的《计算机网络》实验报告——使用SNORT观察网络数据包和TCP连接的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： C#——简单的计算器（仿Windows
下一篇：基于计算机网络的可持续发展信息共享情况调