Windows系统数据包记录实验

最新推荐文章于 2023-10-14 23:08:35 发布
最新推荐文章于 2023-10-14 23:08:35 发布
阅读量552 收藏 3
点赞数 1
分类专栏: web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YIGAOYU/article/details/108953198
版权

目录

预备知识

入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。

入侵检测的功能主要体现在以下几个方面:
1、监视并分析用户和系统的活动。
2、核查系统配置和漏洞。
3、识别已知的攻击行为并报警。
4、统计分析异常行为。
5、评估系统关键资源和数据文件的完整性。
6、操作系统的审计跟踪管理并识别违反安全策略

实验目的

理解入侵检测的作用和原理,掌握snort入侵检测的数据包记录

实验工具

Snort、Wireshark

实验环境

Windows XP

实验步骤

打开snort

双击左键打开"snort.exe",如下图所示:
在这里插入图片描述

检查软件状态

使用下面命令查看是否正常: Snort –W 如果出现小猪的形状就说明安装成功了,此时,snort已经可以用于嗅探模式了
在这里插入图片描述

进入嗅探模式

输入嗅探模式命令snort –i 1(此处选择1是网卡选择,可能有好几个网卡可选择的)
在这里插入图片描述
此时该控制台就会开始记录数据包,单击“开始-命令提示符”,再打开一个命令行,输入“ping 192.168.20.20”,此时snort就会开始实时记录数据包。
在这里插入图片描述

数据包记录器模式

上面介绍的嗅探器模式只是把信息显示在屏幕上,如果要把这些数据信息记录到硬盘上并制定到一个目录中,那就需要使用数据包记录器模式。再次打开“桌面-实验工具-snort.exe”,C:\snort\bin目录下运行命令:snort –i 1 –de –l “c:\Snort\log”
在这里插入图片描述
进入Snort包记录器模式。
ctrl+c退出记录命令,打开Wireshark,点击wireshake界面左上角的“file-open”:
在这里插入图片描述
打开“C:\Snort\log\snort.log.xxxxxxxxxx”(xxxxxxxxxx是十位数字):
在这里插入图片描述
在这里插入图片描述
以上就是通过Snort获取的数据包,可简单分析日志记录的数据包。

Yuhao~
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络信息扫描实验
05-11
实验三 网络信息扫描实验 一、实验目的 1、通过练习使用网络端口扫描器,可以了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统安全漏洞。在实验中,我们将练习使用Superscan网络端口扫描工具。通过端口扫描实验,增强网络安全方面的防护意识。 2、通过使用综合扫描及安全评估工具,学习如何发现计算机系统安全漏洞,并对漏洞进行简单分析,加深对各种网络和系统漏洞的理解。在实验中,我们将练习使用流光Fluxay5和SSS。 二、实验原理 1、网络端口扫描原理 一个开放的网络端口就是一条与计算机进行通信的信道,对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息,从而为下一步的入侵好准备。对网络端口的扫描可以通过执行手工命令实现,但效率较低;也可以通过扫描工具实现,效率很高。扫描工具是对目标主机的安全性弱点进行扫描检测的软件。它一般具有数据分析功能,通过对端口的扫描分析,可以发现目标主机开放的端口和所提供的服务,以及相应服务软件版本和这些服务及软件的安全漏洞,从而能及时了解目标主机存在的安全隐患。 扫描工具根据作用的环境不同,可分为两种类型:网络漏洞扫描工具和主机漏洞扫描工具。主机漏洞扫描工具是指在本机运行的扫描工具,以期检测本地系统存在的安全漏洞。网络漏洞扫描工具是指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。本实验主要针对网络漏洞扫描工具进行介绍。 1)端口的基础知识 为了了解扫描工具的工作原理,首先简单介绍一下端口的基本知识。 端口是TCP协议中所定义的,TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。套接字采用[IP地址:端口号]的形式来定义,通过套接字中不同的端口号可以区别同一台计算机上开启的不同TCP和UDP连接进程。对于两台计算机间的任一个TCP连接,一台计算机的一个[IP地址:端口]套接字和另一台计算机的一个[IP地址:端口]套接字相对应,彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见,端口和服务进程一一对应,通过扫描开放的端口,就可以判断出计算机中正在运行的服务进程。 TCP/UDP的端口号在0~65535范围之内,其中1024以下的端口保留给常用的网络服务。例如:21端口为FTP服务,23端口为TELNET服务,25端口为SMTP服务,80端口为HTTP服务,110端口为POP3服务等。 2)扫描的原理 扫描的方式有多种,为了理解扫描原理,需要对TCP协议简要介绍一下。 一个TCP头的数据包格式如图4-16所示。它包括6个标志位,其中: SYN用来建立连接; ACK为确认标志位,例如,当SYN=1,ACK=0表示请求连接的数据包;当SYN=1,ACK=1表示接受连接的数据包。 FIN表示发送端已经没有数据可传了,希望释放连接。 RST位用于复位错误的连接,比如收到的一个数据分段不属于该主机的任何一个连接,则向远端计算机发送一个RST=1的复位数据包,拒绝连接请求。 根据上面介绍的知识,下面我们介绍基于TCP和UDP协议的几种端口扫描方式。 1) TCP全连接扫描 TCP全连接扫描方法是利用TCP的三次握手,与目标主机建立正常的TCP连接,以判断指定端口是否开放。这种方法的缺点是非常容易被记录或者被检测出来。 2)TCP SYN扫描 本地主机向目标主机发送SYN数据段,如果远端目标主机端口开放,则回应SYN=1,ACK=1,此时本地主机发送RST给目标主机,拒绝连接。如果远端目标主机端口未开放,则回应RST给本地主机。由此可知,根据回应的数据段可判断目标主机的端口是否开放。由于TCP SYN扫描没有建立TCP正常连接,所以降低了被发现的可能,同时提高了扫描性能。 3)TCP FIN扫描 本地主机向目标主机发送FIN=1,如果远端目标主机端口开放,则丢弃此包,不回应;如果远端目标主机端口未开放,则返回一个RST包。FIN扫描通过发送FIN的反馈判断远端目标主机的端口是否开放。由于这种扫描方法没有涉及TCP的正常连接,所以使扫描更隐秘,也称为秘密扫描。这种方法通常适用于UNIX操作系统主机,但有的操作系统(如Windows NT)不管端口是否打开,都回复RST,这时这种方法就不适用了。 4)UDP ICMP扫描 这种方法利用了UDP协议,当向目标主机的一个未打开的UDP端口发送一个数据包时,返回一个ICMP_PORT_UNREACHABLE错误,这样就发现关闭的端口。 5)ICMP 扫描 这种扫描方法利用了ICMP协议的功能,如果向目标主机发送一个协议项存在错误的IP数据包,则根据反馈的ICMP错误报文,判断目标主机使用的服务。 6)间接扫
实验二- 网络数据包的监听与分析.doc
06-15
实验 网络数据包的监听与分析 一 实验目的 1.掌握使用Wireshark软件监听和捕获网络数据包。 2.掌握通过实际观察网络数据进行分析而了解网络协议运行情况。 二 实验要求 1.设备要求:计算机若干台(装有Windows 2000/XP/2003操作系统、装有网卡),局域网环境,主机装有Wireshark工具。 2.每组1人,独立完成。 三 实验预备知识 1. Wireshark简介 Wireshark是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析软件之一,支持Linux和Windows平台,支持500多种协议分析。 网络分析系统首先依赖于一套捕捉网络数据包的函数库。这套函数库工作在在网络分析系统模块的最底层。作用是从网卡取得数据包或者根据过滤规则取出数据包的子集,再转交给上层分析模块。从协议上说,这套函数库将一个数据包从链路层接收,将其还原至传输层以上,以供上层分析。在Linux系统中,1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包过滤器,称之为BPF(BSD Packet Filter),设计了基于BPF的捕包函数库Libpcap。在Window系统中,意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库,其实现思想来源于BPF。 2. Wireshark的简单操作方法 安装Wireshark之前,需要安装Winpcap,安装过程比较简单。安装完成后,启动Wireshark,如图2.1所示。
嗅探器模式和数据包记录模式
weixin_40789841的博客
01-21 1830
一、实验目的及要求 1. 学习snort的工作模式 2.学习数据包记录模式的使用过程 3.对命令参数进行学习 二、实验设备(环境)及要求 PC机, VC++等,虚拟云平台 三、实验内容与步骤 1.嗅探器模式 (1).在192.168.1.2的终端上输入“snort -v”,进行snort启动; (2).分析snort启动信息; (3).登录客户端192.168.1....
【干货】日志管理与分析(一)——日志收集及来源
systemino的博客
08-06 1万+
对广大IT工作者,尤其是运维和安全人员来说,“日志”是一个再熟悉不过的名词。 日志从哪来?机房中的各种软件(系统、防火墙)和硬件(交换机、路由器等),都在不断地生成日志。IT安全业界的无数实践告诉我们,健全的日志记录和分析系统,是系统正常运营、优化以及安全事故响应的基础,虽然安全系统厂商为我们提供了五花八门的解决方案,但基石仍是具有充足性、可用性、安全性的日志记录系统。 实际工作中,许多单位内...
Windows日志】记录系统事件的日志
第一天
10-14 9832
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
计算机网络抓包实验记录和总结
jachinleon的博客
10-02 1万+
这次实验在软件应用层面,让我了解了许多**计算机网络数据传输**的细节,让我对**各种数据和它们绑定的协议**,结构有了更深入的了解。
hnu计网实验一-应用协议与数据包分析实验(使用Wireshark)
jzb的博客
12-29 2470
1.学习到的知识通过这次实验学习到了很多的知识点。首先学了使用wireshark来截取各种网络数据包,并可以对数据包详细信息进行一定分析。同时对HTTP协议有了更深一层次的理解,体到了TCP建立的三次握手的取消的四次挥手的过程。尤其在实验的过程中学习到了HTTP与HTTPS协议的不同,在http://www.jd.com网站访问的报文中发现学习了一些网站从HTTP到HTTPS的过渡,通过在HTTP响应报文中添加首部行Location记录新的HTTPS网址可以实现跳转。
入侵检测与防御学习系列8——数据包记录器模式
Mydyzdy_的博客
08-19 127
入侵检测与防御学习系列8——数据包记录器模式
Wireshark网络抓包(一)——数据包、着色规则和提示
qq_23350817的博客
06-14 1783
网络
Snort入侵检测系统简介
VN520的博客
04-12 2562
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。Snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。Snort规则是基于文本的,规则文件按照不同的组进行分类,比如,文件ftp.rules包含了FTP攻击内容。
计算机网络实验实验报告.doc
03-11
" " " " "实验过程描 "网络常用命令的使用 " "述 "掌握PING命令的基本使用方法(包括参数的使用),对网络" " "常见故障利用命令进行分析判断 " " "用Tracert命令用来显示数据包到达目标主机所经过的路径 " " ",并...
网络安全实验---NMAP扫描.docx
06-09
-- -f 指定回显数据包记录路由的最大量 -r -- 记录路由 -- -R 指定回显数据包按列表路由 -j/-k -- 生存时间(TTL):指定数据报被路由器丢弃之前允许通过的网段数量。TTL是由发送主机设置的,以防止数据包在网络中...
计算机网络实验报告实验4.docx
06-07
步骤2:在PC1运行Wireshark捕获数据包,为了只捕获和实验内容有关的数据包,将Wireshark的Capture Filter设置为“No Broadcast and no Multicast”。 步骤3:在PC1的“运行”对话框中输入命令“cmd”,在Windows...
计算机网络实验实验报告1.doc
03-11
" " " " "实验过程描 "网络常用命令的使用 " "述 "掌握PING命令的基本使用方法(包括参数的使用),对网络" " "常见故障利用命令进行分析判断 " " "用Tracert命令用来显示数据包到达目标主机所经过的路径 " " ",并...
2022第三届全国大学生网络安全精英赛练习题(5)
派大星子的博客
11-22 1万+
2022第三届全国大学生网络安全精英赛练习题(5)
Windows日志浅析
热门推荐
过河卒子
02-01 4万+
从这篇文章开始本人开始结合Windows产品日志分析大神(RANDY FRANKLINSMITH)的电子书,以及自己的实验Windows操作系统的日志开始分析。也是对自己的一种激励,至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解,好了,废话不多说了,回归正题。     Windows日志从Windows2000版本后共包括9种审计策略,Windo
使用Windows防火墙日志跟踪防火墙活动
allway2的博客
01-28 7252
在过滤Internet流量的过程中,所有防火墙都具有某种类型的日志记录功能,该功能记录了防火墙如何处理各种类型的流量。这些日志可以提供有价值的信息,例如源和目标IP地址,端口号和协议。您还可以使用Windows防火墙日志文件来监视TCP和UDP连接以及被防火墙阻止的数据包。 为什么和何时使用防火墙日志记录 验证新添加的防火墙规则是否正常运行,或者如果它们未能按预期运行,则对其进行调试。 ...
计算机组装实验数据包,数据包记录实验
weixin_29859471的博客
06-16 210
实验步骤1、点击开始实验进入实验环境2、输入默认账号administrator,密码123456,进入目标主机桌面。3、打开d:\tools目录,安装WinPcap_4_1_2.exe(按照向导提示安装即可)安装wireshark(按照向导默认安装即可)安装Snort_2_9_1_2_Installer.exe(默认安装即可)4、安装完成后单击“开始”“运行”,输入“cmd”,打开命令行,5、使用...
[网络安全课程实验]:WireShark数据包分析
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-12 3884
目录 实验:WireShark数据包分析 一、实验目的 二、实验环境 三、实验内容与实验要求 四、实验过程与分析 TCP三次握手 第一次握手 第二次握手 第三次握手 UDP 五、实验结果总结 实验:WireShark数据包分析 一、实验目的 1)掌握Wireshark的使用; 2)能够使用Wireshark进行简单的协议分析; 3)掌握TCP三次握手过程。 二、实验环境 Kali-linux-2018.1-amd64 WireShark Network Analy.
wireshark分析网络数据包实验
最新发布
10-25
在Wireshark的实验中,我们可以通过捕获、分析和解码网络数据包来深入了解网络通信过程以及网络中的故障。 在实验中,我们首先需要在目标设备上安装和配置Wireshark。然后,我们可以选择要捕获的网卡接口,如无线...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值