一、实验目的及要求
1. 学习snort的工作模式
2.学习数据包记录模式的使用过程
3.对命令参数进行学习
二、实验设备(环境)及要求
PC机, VC++等,虚拟云平台
三、实验内容与步骤
1.嗅探器模式
(1).在192.168.1.2的终端上输入“snort -v”,进行snort启动;
(2).分析snort启动信息;
(3).登录客户端192.168.1.3,输入“ping 192.168.1.2 –t”;
(4).打开192.168.1.2的终端,输入“snort -i eth0 -vde”;
(5).对数据包进行分析;
2.数据包记录器模式
(1)进入192.168.1.2服务器的/var/log/snort文件夹,并查看文件内容;
(2)输入“rm –rf snort.log.*”,删除snort的snort文件
(3)输入”snort de –l /var/log/snort”,启动snort,记录详细信息到var/log/snort
(4)登录客户端192.168.1.3,让它去ping192.168.1.2
(5)关闭snort,查看文件,发现已经产生log文件
(6)查看log文件(由于日志文件为acsii格式,所以cat命令无法查看)
四、实验结果与数据处理
1.嗅探器模式:snort启动
2.snort启动信息分析
(1)运行模式
(2)初始化输出插件部分
(3)snort的版本和版权信息
(4)数据包控制台部分
3.分析捕获的数据包
捕获时间:11/19-14:26:05
源mac:5A:5A:8B:FC:56:19 目的mac:C0:B4:0E:79:24:DF
上层协议:IP(0x800)
长度:0x4A
源IP:192.168.1.2 目的IP:192.168.1.3
TTL:64
TOS:0
ID:2580
IP长度:20
IP载荷:84
包类型:ICMP
4.数据包记录器模式:查看文件内容
5.删除snort的snort文件
6.启动snort,记录详细信息到var/log/snort
7.由于没有-v参数,所以数据包信息不会在终端显示
8.关闭snort,查看文件,发现已经产生log文件
9.查看log文件(由于日志文件为acsii格式,所以cat命令无法查看)
五、分析与讨论
通过这次实验,分析了捕获的包部分的结构信息,学习了嗅探器模式和数据包记录模式,明白了嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上,以及数据包记录模式是把数据包记录到硬盘上,再通过对文件的读取或者解析在数据包中发现需要的信息。
来源:CSDN
作者:Riker-k
链接:https://blog.csdn.net/weixin_40789841/article/details/104064596