使用SNORT观察网络数据包和TCP链接
任课教师:舒挺,张芳
《计算机网络》
(2013-2014学年第2学期)
实
验
报
告
学号:2012329620006
姓名:章钰沁
班级:12级计算机科学与技术(1)班
实验三:使用SNORT观察网络数据包和TCP链接
一、实验内容和要求
●学会安装使用自由软件SNORT
●截获以太网数据包,并分析和描述TCP连接的三个阶段。
●截获ARP协议数据包并进行分析
二、实验步骤
第一部分安装snort
1、下载snort-2_0_4.exe 网址:https://www.wendangku.net/doc/906583135.html,/dl/binaries/win32/snort-2_0_4.exe
2、下载WinPcap_3_0.exe http://winpcap.polito.it/install/bin/WinPcap_3_0.exe
3、安装snort和winpcap
4、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin
5、执行snort –ev 出现以下屏幕,表示安装完成并能正常使用
6、用ctrl +C结束。
7、观察一个完整的TCP连接。
第二部分
1、在snort的工作目录中使用命令
snort –dev –l /snort/log
开始snort并将相应的log文件记录在log目录下。
2、另开一个命令窗口,键入命令
FTP https://www.wendangku.net/doc/906583135.html,
3、观察ftp命令窗口
4、打开相应的log目录
5、查找到相应的TCP连接,并用文本分析器打开。对照ftp命令窗口中出现的结果,分析刚
才的TCP连接过程。
第三部分
观察ARP协议
1、同二,打开SNORT并记录。
2、在另一命令窗口执行以下命令:
arp –a 观察高速缓存
telnet 192.168.0.3 discard 注:和一个在ARP缓存中不存在的主机进行telnet连接。
quit
3、quit
4、分析所捕获的数据包,并且写出arp的全过程。
三、实验结果
第一部分
1、先在控制面板——>用户帐户中更改密码,如下图所示:
2、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin
3、执行snort –ev ,然后按ctrl+c后,出现以下屏幕
第二部分
4、在snort的工作目录中使用命令
snort –dev –l /snort/log
显示结果如下图所示:
则snort文件夹中的log文件夹的内容如下图所示:
log文件夹中的arp.txt文本文件内容如下图所示
则本机的数据包要告诉这三个主机
5、另开一个命令窗口,键入命令
FTP10.16.23.2,并且输dir,查看ip地址为10.16.23.2的电脑的相应目录结果如下图所示:
接下来抓取数据包
在控制面板中设置默认FTP站点(本机ip地址为192.168.1.101)
对方主机(ip地址为192.168.1.102)的消息设置如下图所示:
先在对方C:\Inetpub\ftproot\中,新建一个文件夹,存放ftp服务器端的数据,用来检验是否连接上对方电脑
连接对方主机ip,即192.168.1.102,如下图所示:
则在对方主机的log文件夹中的192.168.1.101(本机ip)文件夹中的TCP_1989-21.txt文件内容如下:
01/01-22:24:56.541916 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3E
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19484 IpLen:20 DgmLen:48 DF
******S* Seq: 0x967E1721 Ack: 0x0 Win: 0xFFFF TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
(先是本机向对方主机192.168.1.102发出连接请求报文段,这时首部中的同步位SYN=1,同时选择一个初始序列seq=0x967E1721,记为x)
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:24:56.541972 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20321 IpLen:20 DgmLen:48 DF
***A**S* Seq: 0x777D6950 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
(对方主机收到连接请求报文段后,如同意建立连接,则向本机发送确认,SYN位和ACK位都置1,确认号ack=x+1,即0x967E1722,同时也为自己本机选择一个初始序号seq=0x777D6950,记为y)
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:24:56.542070 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19485 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x967E1722 Ack: 0x777D6951 Win: 0xFFFF TcpLen: 20
(本机接收到对方主机的确认后,还要向对方主机给出确认,ACK置1,确认号ack=y+1,而自己的序号seq=x+1)这样三次握手结束
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:24:56.554736 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x51
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20322 IpLen:20 DgmLen:67 DF
***AP*** Seq: 0x777D6951 Ack: 0x967E1722 Win: 0xFFFF TcpLen: 20
32 32 30 2D 4D 69 63 72 6F 73 6F 66 74 20 46 54 220-Microsoft FT
50 20 53 65 72 76 69 63 65 0D 0A P Service..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:24:56.706035 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19486 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x967E1722 Ack: 0x777D696C Win: 0xFFE4 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:24:56.706076 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20323 IpLen:20 DgmLen:48 DF ***AP*** Seq: 0x777D696C Ack: 0x967E1722 Win: 0xFFFF TcpLen: 20
32 32 30 20 71 77 0D 0A 220 qw..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:24:56.924799 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19488 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x967E1722 Ack: 0x777D6974 Win: 0xFFDC TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:12.941822 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x43
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19530 IpLen:20 DgmLen:53 DF ***AP*** Seq: 0x967E1722 Ack: 0x777D6974 Win: 0xFFDC TcpLen: 20
55 53 45 52 20 6C 69 67 6F 6E 67 0D 0A USER ligong..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:12.954099 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x59
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20380 IpLen:20 DgmLen:75 DF ***AP*** Seq: 0x777D6974 Ack: 0x967E172F Win: 0xFFF2 TcpLen: 20
33 33 31 20 50 61 73 73 77 6F 72 64 20 72 65 71 331 Password req
75 69 72 65 64 20 66 6F 72 20 6C 69 67 6F 6E 67 uired for ligong
2E 0D 0A ...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:13.112085 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19531 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:22.394585 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x42
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19556 IpLen:20 DgmLen:52 DF ***AP*** Seq: 0x967E172F Ack: 0x777D6997 Win: 0xFFB9 TcpLen: 20
50 41 53 53 20 73 75 6E 6E 79 0D 0A PASS sunny..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:22.405151 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20411 IpLen:20 DgmLen:48 DF ***AP*** Seq: 0x777D6997 Ack: 0x967E173B Win: 0xFFE6 TcpLen: 20
32 33 30 2D 61 61 0D 0A 230-aa..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:22.518213 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19557 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x967E173B Ack: 0x777D699F Win: 0xFFB1 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:22.518242 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x52
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20415 IpLen:20 DgmLen:68 DF ***AP*** Seq: 0x777D699F Ack: 0x967E173B Win: 0xFFE6 TcpLen: 20
32 33 30 20 55 73 65 72 20 6C 69 67 6F 6E 67 20 230 User ligong
6C 6F 67 67 65 64 20 69 6E 2E 0D 0A logged in...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:22.736966 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19558 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x967E173B Ack: 0x777D69BB Win: 0xFF95 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:27.891743 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x50
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19570 IpLen:20 DgmLen:66 DF ***AP*** Seq: 0x967E173B Ack: 0x777D69BB Win: 0xFF95 TcpLen: 20
50 4F 52 54 20 31 39 32 2C 31 36 38 2C 31 2C 31 PORT 192,168,1,1
30 31 2C 37 2C 32 30 31 0D 0A 01,7,201..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:27.891845 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x54
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20429 IpLen:20 DgmLen:70 DF ***AP*** Seq: 0x777D69BB Ack: 0x967E1755 Win: 0xFFCC TcpLen: 20
32 30 30 20 50 4F 52 54 20 63 6F 6D 6D 61 6E 64 200 PORT command
20 73 75 63 63 65 73 73 66 75 6C 2E 0D 0A successful...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:27.893532 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19573 IpLen:20 DgmLen:46 DF ***AP*** Seq: 0x967E1755 Ack: 0x777D69D9 Win: 0xFF77 TcpLen: 20
4C 49 53 54 0D 0A LIST..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:27.893592 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x6B
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20430 IpLen:20 DgmLen:93 DF ***AP*** Seq: 0x777D69D9 Ack: 0x967E175B Win: 0xFFC6 TcpLen: 20
31 35 30 20 4F 70 65 6E 69 6E 67 20 41 53 43 49 150 Opening ASCI
49 20 6D 6F 64 65 20 64 61 74 61 20 63 6F 6E 6E I mode data conn
65 63 74 69 6F 6E 20 66 6F 72 20 2F 62 69 6E 2F ection for /bin/
6C 73 2E 0D 0A ls...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:28.096275 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19577 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x967E175B Ack: 0x777D6A0E Win: 0xFF42 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:28.096316 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x4E
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20436 IpLen:20 DgmLen:64 DF ***AP*** Seq: 0x777D6A0E Ack: 0x967E175B Win: 0xFFC6 TcpLen: 20
32 32 36 20 54 72 61 6E 73 66 65 72 20 63 6F 6D 226 Transfer com
70 6C 65 74 65 2E 0D 0A plete...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:28.315030 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19578 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x967E175B Ack: 0x777D6A26 Win: 0xFF2A TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:47.242160 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19629 IpLen:20 DgmLen:46 DF ***AP*** Seq: 0x967E175B Ack: 0x777D6A26 Win: 0xFF2A TcpLen: 20
51 55 49 54 0D 0A QUIT..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:47.242259 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x3E
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20486 IpLen:20 DgmLen:48 DF ***AP*** Seq: 0x777D6A26 Ack: 0x967E1761 Win: 0xFFC0 TcpLen: 20
32 32 31 20 71 71 0D 0A 221 qq..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:47.242346 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x36
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20487 IpLen:20 DgmLen:40 DF
***A***F Seq: 0x777D6A2E Ack: 0x967E1761 Win: 0xFFC0 TcpLen: 20
(数据传输结束后,通信的双方都可释放连接,现在双方都处于ESTABLISHED状态,对方主机先向其TCP发出连接释放报文段,并停止再发送数据,主动关闭TCP连接,FIN置1,seq= 0x777D6A2E,记为u,ack=0x967E1761,记为w)
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:47.242443 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19630 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x967E1761 Ack: 0x777D6A2F Win: 0xFF22 TcpLen: 20
(本机收到连接释放报文段后即发出确认,确认号ack=u+1,)
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:47.244700 0:16:EC:D2:63:C1 -> 0:19:21:28:33:9D type:0x800 len:0x3C
192.168.1.101:1989 -> 192.168.1.102:21 TCP TTL:128 TOS:0x0 ID:19631 IpLen:20 DgmLen:40 DF
***A***F Seq: 0x967E1761 Ack: 0x777D6A2F Win: 0xFF22 TcpLen: 20
(若本机已经没有要向A发送的数据,其应用进程就通知TCP释放连接,这时FIN置1,本机还必须重复上次已发送过的确认号ack=u+1)
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/01-22:25:47.244735 0:19:21:28:33:9D -> 0:16:EC:D2:63:C1 type:0x800 len:0x36
192.168.1.102:21 -> 192.168.1.101:1989 TCP TTL:128 TOS:0x0 ID:20488 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x777D6A2F Ack: 0x967E1762 Win: 0xFFC0 TcpLen: 20
(对方主机在收到本机的连接释放报文段后,必须对此发出确认,ACK置1,seq=u+1,ack=w+1)=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
第三部分
观察arp协议
arp –a 观察高速缓存
telnet 192.168.0.3 discard
四、实验心得
1)此实验非常有趣,让我知道了怎么可以抓取别人的数据包2)此实验让我对TCP的建立连接过程有了更深入的了解
3)此实验让我对上次的实验的arp和ftp命令有了进一步的巩固4)此实验让我对电脑的操作能力有了提升
Windows平台下基于snort的入侵检测系统安装详解
Windows平台下基于snort的入侵检测系统安装详解 序言:最近公司网络总是不间断出现点问题,也搭建了一些流量监控服务器进行监控和分析;也一直在关注网络安全方面的知识。看到snort IDS是一个开源的软件,突然想学习下。就有了搭建Windows下Snort IDS的想法。一下内容参考网络上的资料。 1.软件准备 Apache,php,mysql,winpcap,snort,acid,adodb,jpgraph等 2.软件安装 window平台:windows xp sp3 (1)apache的安装 一路下一步,具体配置如下图:
安装完成后验证web服务是否运行正常 (2)mysql安装
(3)php安装 解压php压缩包到C盘下并命名为php 复制c:\php\phpini-dist到c:\windows下并重命名为php.ini 复制c:\php\php5ts.dll,c:\php\libmysql.dll 到 c:\windows\system32下复制c:\php\ext\php_gd2.dll到c:\windows\system32下 修改 c:\apache\conf\httpd配置文件 添加LoadModule php5_module c:/php/php5apache2_2.dll AddType application/x-httpd-php .php 重启apache服务 在c:\apache\htdocs\下新建test.php http://x.x.x.x/test.php验证php能否工作
计算机网络课程设计---基于Wireshark的网络数据包内容解析
基于Wireshark的网络数据包内容解析 摘要本课程设计是利用抓包软件Wireshark,对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的。设计过程中对各种包进行抓取分析,各种包之间比较,了解每种包的传输过程与结构,通过本次课程设计,能很好的运用Wireshark对数据包分析和Wireshark各种运用,达到课程设计的目的。 关键词IP协议;TCP协议;UDP协议;ARP协议;Wireshark;计算机网络; 1 引言 本课程设计主要是设计一个基于Wireshark的网络数据包内容解析,抓取数据包,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的 1.1 课程设计目的 Wireshark是一个网络封包分析软件。可以对网络中各种网络数据包进行抓取,并尽可能显示出最为详细的网络封包资料,计算机网络课程设计是在学习了计算机网络相关理论后,进行综合训练课程,其目的是: 1.了解并会初步使用Wireshark,能在所用电脑上进行抓包; 2.了解IP数据包格式,能应用该软件分析数据包格式。 1.2 课程设计要求 (1)按要求编写课程设计报告书,能正确阐述设计结果。 (2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。 (3)学会文献检索的基本方法和综合运用文献的能力。
(4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。 1.3 课程设计背景 一、Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。 二、网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。 网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。 网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础,首先就来详细地介绍一下网络嗅探技术,接下来就其在网络监控系统的运用进行阐述。 2 网络协议基础知识 2.1 IP协议 (1) IP协议介绍
网络层数据包抓包分析
网络层数据包抓包分析 一.实验内容 (1)使用Wireshark软件抓取指定IP包。 (2)对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤 (1)打开Wireshark软件,关闭已有的联网程序(防止抓取过多的包),开始抓包; (2)打开浏览器,输入https://www.wendangku.net/doc/906583135.html,/网页打开后停止抓包。 (3)如果抓到的数据包还是比较多,可以在Wireshark的过滤器(filter)中输入http,按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。 (4)在过滤的结果中选择第一个包括http get请求的帧,该帧用
于向https://www.wendangku.net/doc/906583135.html,/网站服务器发出http get请求 (5)选中该帧后,点开该帧首部封装明细区中Internet Protocol 前的”+”号,显示该帧所在的IP包的头部信息和数据区: (6)数据区目前以16进制表示,可以在数据区右键菜单中选择“Bits View”以2进制表示:
(注意:数据区蓝色选中的数据是IP包的数据,其余数据是封装该IP包的其他层的数据) 回答以下问题: 1、该IP包的“版本”字段值为_0100_(2进制表示),该值代表该IP包的协议版本为: √IPv4 □IPv6 2、该IP包的“报头长度”字段值为__01000101__(2进制表示),该值代表该IP包的报头长度为__20bytes__字节。 3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示),该值代表该IP包的总长度为__238__字节,可以推断出该IP包的数据区长度为__218__字节。 4、该IP包的“生存周期”字段值为__01000000__ (2进制表示),该值代表该IP包最多还可以经过___64__个路由器 5、该IP包的“协议”字段值为__00000110__ (2进制表示) ,该值代表该IP包的上层封装协议为__TCP__。 6、该IP包的“源IP地址”字段值为__11000000 10101000
高速网络环境下数据包捕获技术的分析
龙源期刊网 https://www.wendangku.net/doc/906583135.html, 高速网络环境下数据包捕获技术的分析 作者:王亚 来源:《数字技术与应用》2011年第12期 摘要:互联网的迅猛发展,网络带宽飞速增长,在高速网络环境下,传统的网络数据包捕获已经成为制约整个系统的性能提升的瓶颈,为了满足高速网络的数据包捕获的需求,对传统的网络数据包捕获存在的问题进行分析,在此基础上提出了改进措施,为后期研究高速网络下高性能的数据包捕获技术奠定基础。 关键词:高速网数据包捕获 Libpcap 中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2011)12-0194-02 The Analysis of Packet Capture Technology in High Speed Network wangya (Fuyang Teachers College of computer and Information engineering Fuyang 236041) Abstract:The rapid development of the Internet and the rapid growth of network bandwidth,in high-speed network environment,the traditional network data packet capture has become the constraints of the system performance bottleneck. In order to satisfy the high speed network packet capture demand,to analysis the existing problems of the traditional network packet capture,and put forward on this foundation improvement measures.,It lays the foundation for later research of high-speed network and high performance packet capture technology. Keywords:high speed network;packet capture;Libpcap 1、引言 目前,对网络信息监控与检测的软件都是基于数据包捕获技术,如:入侵检测程序Snort、嗅探器Tcpdump等。数据包捕获技术是一种对网络上的数据包进行监听并截取的技术,可以将数据包原封不动的拷贝到捕包端的系统中。数据包捕获是入侵检测系统、网络协议
网络数据包的捕获与分析毕业设计
网络数据包的捕获与分析 【摘要】网络数据包的捕获对于网络安全有着巨大的作用,为我们更好的分析网络中的数据流提供了帮助。本论文是基于Windows下开发一个网络监听工具,侧重点在于实现网络数据包的捕获,然后分析并显示捕获到的数据包信息这部分功能的实现,如分析:IP首部协议类型、源IP、目的IP和端口号等。采用的是Winpcap(Windows Packet Capture)来实现的抓包功能。通过VC++6.0中MFC编程实现通过一个完整界面来控制调用Winpcap中的函数来实现对网卡信息的捕获和循环捕获数据包,然后通过预先对于IP、TCP、UDP等数据包的定义和TCP/IP等协议来解析其中包含的内容并返回显示捕获到数据包的信息,当然也可以保存捕获到的数据包到指定地点以便进一步分析。 【关键词】Winpcap;数据包;捕获;分析
The Capture and Analysis of Network Data Packets Wang Hang (Grade 11,Class 1, Major Network Engineering, Scho ol of Mathematics and Computer Science Dept, Shaanxi University of Technology, Hanzhong 723003, Shaanxi) Tutor: Jia Wei Abstract: The capture of network data packets plays an important part in network security, which is helpful for our better analysis of network data flow.This paper is about a network monitoring tool based on Windows system, which emphasizes particularly on realizing the capture and analysis of network data packets and then displays them. Take analysis as an example, it will check the type of the IP protocol, the source address of IP, the destination address of IP and the port https://www.wendangku.net/doc/906583135.html,e the Winpcap(Windows Packet Capture)to capture of data packets. In MFC programming of VC++6.0, the capture of network data packets can be realized via the invoking and control of the functions through a full control panel, and then the analysis of IP ,TCP,UDP and TCP/IP will be done before they are displayed. Certainly the information captured can be saved to the appointed destination in order to go through an advanced analysis. Key words:Winpcap;Data Packets;Capture;Analysis
网络数据包分析实验
实验一:网络数据包分析实验 班级:班学号:姓名:一、实验目的 通过对实际的网络数据包进行捕捉,分析数据包的结构,加深对网络协议分层概念的理解,并实际的了解数据链路层,网络层,传输层以及应用层的相关协议和服务。 、实验内容 1. IGMP包解析 1.1数据链路层 El代XEL洱丁;亡日:亡5 MB)」osr: IP- 4m
数据头部的前6个字节是接收者的mac地址:01 00 5e 00 00 16 数据头部的中间6个字节是发送者的mac地址:00 21 97 0a e5 16 数据头部的最后2个字节代表网络协议,即:08 00协议类型。 1.2网络层 Header* 1 cngth: 24 byres n axed services "乜Id:0x00 (.DSCP 0X00: D&fau11: 0x003 Tqtil rength:斗D Tdsrrtificar I cn: QklclJ 也^7460) H Flmqs: Q>00 Fra^Tienr offset;:Q Time VQ live; 1 Fr DTCCDl : IGMP go?) ¥ HPAder fhecksijn:CxJ85c [correct] 5DU RUM;172,10.103.?0 网络数据包的监听与分析 用Ethereal获取到ftp用户名和密码的截图(和本人姓名不同的没有成绩)。【附录】 1.Ethereal使用入门 ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows 下面ethereal 的使用方法 安装(略) 如果只有一个网卡,启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。 下面是一个截图: 如果有多个网卡,需要先进行设置,启动ethereal 以后,选择菜单Capature->Options,如下图: Interface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制 Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过)File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷 其他的项选择缺省的就可以了 ethereal的抓包过滤器 抓包过滤器用来抓取感兴趣的包,用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是:[not] primitive [and|or [not] primitive ...] 如果你想抓取某些特定的数据包时,有以下两种方法,你可以任选一种: 1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包; 2、先把本机收到或者发出的包都抓下来,然后使用下节介绍的显示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包; etheral的显示过滤器(重点内容) 在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。 举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp,然后回车,ethereal 就会只显示tcp 协议的包。如下图所示: 值比较表达式可以使用下面的操作符来构造显示过滤器自然语言类 c 表示举例eq == ip.addr== ne != ip.addr!= gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10 表达式组合可以使用下面的逻辑操作符将表达式组合起来自然语言类 c 表示举例and && 逻辑与,比如ip.addr= or || 逻辑或,比如ip.addr= xor ^^ 异或,如tr.dst[0:3] == xor tr.src[0:3] == not ! 逻辑非,如!llc 实训报告 一、sniffer的功能认知; 1. 实时网络流量监控分析 Sniffer Portable LAN能够对局域网网络流量进行实时监控和统计分析,对每个链路上的网络流量根据用户习惯,可以提供以表格或图形(条形图、饼状图和矩阵图等)方式显示的统计分析结果,内容包括: ·网络总体流量实时监控统计:如当前和平均网络利用率、总的和当前的帧数、字节数、总网络节点数和激活的网络节点数、当前和总的平均帧长等。 ·协议使用和分布统计:如协议类型、协议数量、协议的网络利用率、协议的字节数以及每种协议中各种不同类型的帧的数量等。Sniffer包含通用的TCP和UDP网络应用协议如HTTP, Telnet, SNMP, FTP等。同时,Sniffer 也具有特有的灵活性允许增加自定义的应用。一旦应用协议加入Sniffer,针对应用的所有的监控、报警和报告便自动生效; ·包尺寸分布统计:如某一帧长的帧所占百分比,某一帧长的帧数等。 ·错误信息统计:如错误的CRC校验数、发生的碰撞数、错误帧数等; ·主机流量实时监控统计:如进出每个网络节点的总字节数和数据包数、前x个最忙的网络 节点等; 话节点对等; ·Sniffer还提供历史统计分析功能,可以使用户看到网络中一段时间内的流量运行状况,帮助用户更好的进行流量分析和监控。 2.应用响应时间监控和分析 Sniffer 在监控网络流量和性能的同时,更加关注在网络应用的运行状况和性能管理,应用响应时间(ART)功能是Sniffer中重要的组成部分,不仅提供了对应用响应时间的实时监控,也提供对于应用响应时间的长期监控和分析能力。 首先ART监控功能提供了整体的应用性能响应时间,让用户以多种方式把握当前网络通讯中的各类应用响应时间的对比情况,如客户机/服务器响应时间、服务器响应时间,最 快响应时间、最慢响应时间、平均响应时间和90%的请求的响应时间等。 S n o r t详细安装步骤Prepared on 21 November 2021 Snort使用报告 一、软件安装 安装环境:windows 7 32bit 二、软件:Snort 、WinPcap 规则库: 实验内容 熟悉入侵检测软件Snort的安装与使用 三、实验原理 Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS 四.安装步骤 1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap. 本次实验使用的具体版本是Snort 、和WinPcap 首先点击Snort安装 点击I Agree.同意软件使用条款,开始下一步,选择所要安装的组件: 全选后,点 击下一步: 选择安装的 位置,默认 的路径为 c:/Snort/, 点击下一 步,安装完 成。软件跳 出提示需要 安装 WinPcap 以 上 2.安装 WinPcap 点击 WinPcap安装包进行安装 点击下一步继续: 点击同意使用条款: 选择是否让WinPcap自启动,点击安装: 安装完成点击完成。 此时为了看安装是否成功,进入CMD,找到d:/Snort/bin/如下图:(注意这个路径是你安装的路径,由于我安装在d盘的根目录下,所以开头是d:) 输入以下命令snort –W,如下显示你的网卡信息,说明安装成功了!别高兴的太早,这只是安装成功了软件包,下面还要安装规则库: 3.安装Snort规则库 首先我们去Snort的官网下载Snort的规则库,必须先注册成会员,才可以下载。具体下载地址为,往下拉到Rules,看见Registered是灰色的,我们点击Sign in: 注册成功后,返回到这个界面就可以下载了。下载成功后将压缩包解压到 Snort的安装文件夹内:点击全部是,将会替换成最新的规则库。 4.修改配置文件 用文件编辑器打开d:\snort\etc\,这里用的是Notepad++,用win自带的写字板也是可以的。找到以下四个变量var RULE_PATH,dynamicpreprocessor,dynamicengine,alert_syslog分别在后面添加如下路径: var RULE_PATH d:\snort\rules var SO_RULE_PATH d:\snort\so_rules var PREPROC_RULE_PATH d:\snort\preproc_rules dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicengine d:\snort\lib\snort_dynamicengine\ output alert_syslog: host=:514, LOG_AUTH LOG_ALERT 到现在位置配置完成,同样回到cmd中找到d:/Snort/bin/运行snort –v –i1(1是指你联网的网卡编号默认是1)开始捕获数据,如下: 运行一段时间后按Ctrl+c中断出来可以看见日志报告: 网络数据包协议分析 一、实验目的 1.学习网络协议分析工具Ethereal的使用方法; 2.截获数据并对它们观察,分析其中2中协议(arp&tcp)数据包包头各数据位的含义, 了解协议的运行机制。 二、实验步骤 1.安装并打开Ethereal软件; 2.利用”运行cmd”打开命令提示符,输入“ping”确认网络连接是否完成; 3.点击capture->options选择网卡(默认有线); 4.点击capture开始抓包; 5.打开浏览器,访问一个网站,这样才可以抓到tcp的数据包; 6.点击stop停止抓包。 三、实验结果分析 1.Arp---address resolution protocol,地址解析协议的缩写,就是主机在发送帧前将目 标IP地址(32位)转换成目标MAC地址(48位)的过程。它属于链路层的协议。 ARP协议数据包包头数据位分析: 1.第一栏显示帧信息。 Frame 280 (60 bytes on wire,60 bytes capture)是指该数据包含有60个字节,ethereal软件截获了60个字节。点击打开,里面包括了到达时间、相对前一个包的时间延迟、传输时间、帧号280、包长度(60字节)和捕获到的长度(60字节)。 2.第二栏显示以太网信息。 源MAC地址是f4:6d:04:3a:62:33,目的MAC地址是ff:ff:ff:ff:ff:ff。 3.第三栏显示因特网协议信息。 它包括了硬件类型:以太网;协议类型是IP协议和发送方的IP地址与MAC地址,也包括了目的IP地址和MAC地址。 2.tcp—transition control protocol,传输控制协议的缩写。是一种面向连接(连接导向) 的、可靠的、基于字节流的传输层通信协议。 数据包捕获与解析课程设计报告 学生姓名:董耀杰 学号:1030430330 指导教师:江珊珊 数据包捕获与分析 摘要本课程设计通过Ethereal捕捉实时网络数据包,并根据网络协议分析流程对数据包在TCP/IP各层协议中进行实际解包分析,让网络研究人员对数据包的认识上升到一个感性的层面,为网络协议分析提供技术手段。最后根据Ethereal的工作原理,用Visual C++编写一个简单的数据包捕获与分析软件。 关键词协议分析;Ethereal;数据包;Visual C++ 1引言 本课程设计通过技术手段捕获数据包并加以分析,追踪数据包在TCP/IP各层的封装过程,对于网络协议的研究具有重要的意义。Ethereal是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。通过ethereal对TCP、UDP、SMTP、telnet和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。,它以开源、免费、操作界面友好等优点广为世界各地网络研究人员使用为网络协议分析搭建了一个良好的研究平台。 1.1课程设计的内容 (1)掌握数据包捕获和数据包分析的相关知识; (2)掌握Ethreal软件的安装、启动,并熟悉用它进行局域网数据捕获和分析的功能; (3)设计一个简单的数据包捕获与分析软件。 1.2课程设计的要求 (1)按要求编写课程设计报告书,能正确阐述设计结果。 (2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。 (3)学会文献检索的基本方法和综合运用文献的能力。 (4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。 << Back to https://www.wendangku.net/doc/906583135.html, Snort 中文手册 摘要 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。(2003-12-11 16:39:12) Snort 用户手册 第一章 snort简介 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。 嗅探器 所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的 控制台上。首先,我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上,只需要输入下面的命令: ./snort -v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如 ./snort -vd 这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息,就使用下面的命令: ./snort -vde 注意这些选项开关还可以分开写或者任意结合在一块。例如:下面的命令就和上面最后的一条命令等价: ./snort -d -v –e 数据包记录器 如果要把所有的包记录到硬盘上,你需要指定一个日志目录,snort 就会自动记录数据包: ./snort -dev -l ./log 当然,./log目录必须存在,否则snort就会报告错误信息并退出。当snort在这种模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以数据包目的主机的IP地址命名,例如:192.168.10.1 如果你只指定了-l命令开关,而没有设置目录名,snort有时会使用远程主机的IP地址作为目录,有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志,你需要给出本地网络: ./snort -dev -l ./log -h 192.168.1.0/24 这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。 如果你的网络速度很快,或者你想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中: 用法: snort -[options] 实验报告 ( 2014 / 2015 学年第二学期) 题目:网络数据包的捕获与协议分析 专业 学生姓名 班级学号 指导教师胡素君 指导单位计算机系统与网络教学中心 日期2015.5.10 实验一:网络数据包的捕获与协议分析 一、实验目的 1、掌握网络协议分析工具Wireshark的使用方法,并用它来分析一些协议; 2、截获数据包并对它们观察和分析,了解协议的运行机制。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线、局域网 四、实验步骤 1.用Wireshark观察ARP协议以及ping命令的工作过程: (1)打开windows命令行,键入“ipconfig -all”命令获得本机的MAC地址和缺省路由器的IP地址;结果如下: (2)用“arp -d”命令清空本机的缓存;结果如下 (3)开始捕获所有属于ARP协议或ICMP协议的,并且源或目的MAC地址是本机的包。(4)执行命令:ping https://www.wendangku.net/doc/906583135.html,,观察执行后的结果并记录。 此时,Wireshark所观察到的现象是:(截图表示) 2.设计一个用Wireshark捕获HTTP实现的完整过程,并对捕获的结果进行分析和统计。(截 图加分析) 3.设计一个用Wireshark捕获ICMP实现的完整过程,并对捕获的结果进行分析和统计。要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析该ICMP 报文。(截图加分析) 4. 设计一个用Wireshark捕获IP数据包的过程,并对捕获的结果进行分析和统计(截图加分析) 要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析在该数据包中的内容:版本首部长度、服务类型、总长度、标识、片偏移、寿命、协议、源Ip地址、目的地址 五、实验总结 本文来自中国协议分析网技术论坛,转载请注明 sniffer tcp http ospf rtp dhcp Sniffer EtherealWinpcap 其它技术返回首页当前位置: 网站首页>>协议分析>>Winpcap>> 利用WinPcap技术捕获数据包时间:2006-11-14 来源: 作者: 点击:849次收藏到: 前言随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取证系统的研究也变得日益重要。在网络入侵取证系统中,对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数据包捕获,网络管理员才能对所捕获的数据进行一系列 前言 随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取证系统的研究也变得日益重要。在网络入侵取证系统中,对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数据包捕获,网络管理员才能对所捕获的数据进行一系列的分析,从而进行可靠的网络安全管理。 1winpcap简介 WinPcap 是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平台上来实现对底层包的截取过滤。WinPcap 为用户级的数据包提供了Windows 下的一个平台。WinPcap 是BPF 模型和Libpcap 函数库在Windows 平台下网络数据包捕获和网络状态分析的一种体系结构,这个体系结构是由一个核心的包过滤驱动程序,一个底层的动态连接库Packet.dll 和一个高层的独立于系统的函数库Libpcap 组成。底层的包捕获驱动程序实际为一个协议网络驱动程序,通过对NDIS 中函数的调用为Win95、Win98、WinNT、和Win2000 提供一类似于UNIX 系统下Berkeley Packet Filter 的捕获和发送原始数据包的能力。Packet.dll 是对这个BPF 驱动程序进行访问的API 接口,同时它有一套符合Libpcap 接口(UNIX 下的捕获函数库)的函数库。WinPcap的结构图如图1。 WinPcap 包括三个部分:第一个模块NPF(Netgroup Packet Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码。第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上,而无需重新编译。第三个模块Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。 packet.dll和Wpcap.dll:packet.dll直接映射了内核的调用。Wpcap.dll提供了更加友好、功能更加强大的函数调用。WinPcap的优势提供了一套标准的抓包接口,与libpcap兼容,可使得原来许多UNIX平台下的网络分析工具快速移植过来便于开发各种网络分析工具,充分考虑了各种性能和效率的优化,包括对于NPF内核层次上的过滤器支持,支持内核态的统计模式,提供了发送数据包的能力。 2网络数据包捕获的原理 以太网(Ethernet)具有共享介质的特征,信息是以明文的形式在网络上传输,当网络适配器设置为监听模式(混杂模式,Promiscuous)时,由于采用以太网广播信道争用的方式,使得监听系统与正常通信的网络能够并联连接,并可以捕获任何一个在同一冲突域上传输的数据包。IEEE802.3 标准的以太网采用的是持续CSMA 的方式,正是由于以太网采用 Snort使用报告 一、软件安装 安装环境:windows 7 32bit 软件:Snort 2.9.5.5、WinPcap 4.1.1 规则库: snortrules-snapshot-2970.tar.gz 二、实验内容 熟悉入侵检测软件Snort的安装与使用 三、实验原理 Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS 四.安装步骤 1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap. 本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3 首先点击Snort安装 点击I Agree.同意软件使用条款,开始下一步,选择所要安装的组件: 全选后,点击下一步: 选择安装的位置,默认的路径为c:/Snort/,点击下一步,安装完成。软件跳出提示需要安装WinPcap 4.1.1以上 2.安装WinPcap 点击WinPcap安装包进行安装 点击下一步继续: 点击同意使用条款: 选择是否让WinPcap自启动,点击安装: 安装完成点击完成。 此时为了看安装是否成功,进入CMD,找到d:/Snort/bin/如下图:(注意这个路径是你安装的路径,由于我安装在d盘的根目录下,所以开头是d:) 输入以下命令snort –W,如下显示你的网卡信息,说明安装成功了!别高兴的太早,这只是安装成功了软件包,下面还要安装规则库:网络数据包的听与分析
sniffer数据包捕获
Snort详细安装步骤
网络数据包协议分析
数据包捕获与解析
snort中文手册
Snort 命令参数详解
实验1:网络数据包的捕获与协议分析
网络数据包捕获工具的实现
Snort详细安装步骤