1. 學(xué)習(xí)snort的工作模式

2．學(xué)習(xí)數(shù)據(jù)包記錄模式的使用過(guò)程

3．對(duì)命令參數(shù)進(jìn)行學(xué)習(xí)

?

二、實(shí)驗(yàn)設(shè)備（環(huán)境）及要求

? ?PC機(jī), VC++等,虛擬云平臺(tái)

三、實(shí)驗(yàn)內(nèi)容與步驟

1.嗅探器模式

（1）.在192.168.1.2的終端上輸入“snort -v”，進(jìn)行snort啟動(dòng)；

（2）.分析snort啟動(dòng)信息；

（3）.登錄客戶(hù)端192.168.1.3，輸入“ping 192.168.1.2 –t”；

（4）.打開(kāi)192.168.1.2的終端，輸入“snort -i eth0 -vde”；

（5）.對(duì)數(shù)據(jù)包進(jìn)行分析；

2.數(shù)據(jù)包記錄器模式

（1）進(jìn)入192.168.1.2服務(wù)器的/var/log/snort文件夾，并查看文件內(nèi)容；

（2）輸入“rm –rf snort.log.*”，刪除snort的snort文件

（3）輸入”snort de –l /var/log/snort”,啟動(dòng)snort，記錄詳細(xì)信息到var/log/snort

（4）登錄客戶(hù)端192.168.1.3，讓它去ping192.168.1.2

（5）關(guān)閉snort，查看文件，發(fā)現(xiàn)已經(jīng)產(chǎn)生log文件

（6）查看log文件（由于日志文件為acsii格式，所以cat命令無(wú)法查看）

四、實(shí)驗(yàn)結(jié)果與數(shù)據(jù)處理

?? 1.嗅探器模式：snort啟動(dòng)

?

?

?

?

??2.snort啟動(dòng)信息分析

?? （1）運(yùn)行模式

?? （2）初始化輸出插件部分

?

?

（3）snort的版本和版權(quán)信息

?

?

（4）數(shù)據(jù)包控制臺(tái)部分

?

?

3.分析捕獲的數(shù)據(jù)包

?

?

?

捕獲時(shí)間：11/19-14：26：05

源mac：5A:5A:8B:FC:56:19 ???????目的mac：C0:B4:0E:79:24:DF

上層協(xié)議：IP（0x800）

長(zhǎng)度：0x4A

源IP：192.168.1.2 ????????????????目的IP：192.168.1.3?????

TTL：64

TOS：0

ID：2580

IP長(zhǎng)度：20

IP載荷：84

包類(lèi)型：ICMP

4.數(shù)據(jù)包記錄器模式：查看文件內(nèi)容

?

?

?

5.刪除snort的snort文件

?

6.啟動(dòng)snort，記錄詳細(xì)信息到var/log/snort

?

?

?

7.由于沒(méi)有-v參數(shù)，所以數(shù)據(jù)包信息不會(huì)在終端顯示

8.關(guān)閉snort，查看文件，發(fā)現(xiàn)已經(jīng)產(chǎn)生log文件

9.查看log文件（由于日志文件為acsii格式，所以cat命令無(wú)法查看）

?

?

五、分析與討論

?? 通過(guò)這次實(shí)驗(yàn)，分析了捕獲的包部分的結(jié)構(gòu)信息，學(xué)習(xí)了嗅探器模式和數(shù)據(jù)包記錄模式，明白了嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上，以及數(shù)據(jù)包記錄模式是把數(shù)據(jù)包記錄到硬盤(pán)上，再通過(guò)對(duì)文件的讀取或者解析在數(shù)據(jù)包中發(fā)現(xiàn)需要的信息。

總結(jié)

以上是生活随笔為你收集整理的嗅探器模式和数据包记录模式的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。