Bruker Wireshark for å undersøke FTP -trafikk
Ftp
FTP er en protokoll som brukes av datamaskiner for å dele informasjon over nettverket. Enkelt sagt, det er en måte å dele filer mellom tilkoblede datamaskiner. Ettersom HTTP er bygget for nettsteder, er FTP optimalisert for store filoverføringer mellom datamaskiner.
FTP -klienten bygger først en Kontrollforbindelse forespørsel til serverport 21. En kontrollforbindelse krever innlogging for å etablere en tilkobling. Men noen servere gjør alt innholdet tilgjengelig uten legitimasjon. Slike servere er kjent som anonyme FTP -servere. Senere en egen datakobling er etablert for å overføre filer og mapper.
FTP -trafikkanalyse
FTP -klienten og serveren kommuniserer mens du ikke er klar over at TCP administrerer hver økt. TCP brukes vanligvis i hver økt for å kontrollere datagramlevering, ankomst og vindusstørrelsesstyring. For hver datagramutveksling initierer TCP en ny økt mellom FTP -klienten og FTP -serveren. Derfor vil vi begynne vår analyse med tilgjengelig TCP -pakkeinformasjon for FTP -øktinitiering og avslutning i mellomruten.
Start pakkefangst fra det valgte grensesnittet og bruk ftp kommando i terminalen for å få tilgang til nettstedet ftp.McAfee.com.
ubuntu $ ubuntu: ~ $ ftp ftp.McAfee.com
Logg inn med legitimasjonen din, som vist på skjermdumpen nedenfor.
Bruk Ctrl+c For å stoppe fangsten og se etter FTP -øktinitieringen, etterfulgt av TCP [Syn], [Syn-ack], og [ACK] Pakker som illustrerer en treveis håndtrykk for en pålitelig økt. Påfør TCP -filter for å se de tre første pakkene i pakkelistepanelet.
Wireshark viser detaljert TCP -informasjon som samsvarer med TCP -pakkesegmentet. Vi fremhever TCP -pakken fra vertsdatamaskinen til FTP McAfee -serveren for å studere overføringskontrollprotokolllaget i pakkedetaljerpanelet. Du kan legge merke til at det første TCP -datagrammet for FTP -øktinitieringen bare setter Syn litt til 1.
Forklaringen for hvert felt i transportkontrollprotokolllaget i Wireshark er gitt nedenfor:
- Kildeport: 43854, det er TCP -verten som startet en forbindelse. Det er et tall som ligger hvor som helst over 1023.
- Destinasjonsport: 21, det er et portnummer tilknyttet FTP -tjeneste. Det betyr at FTP -server lytter på port 21 for forespørsler om klientforbindelser.
- Sekvensnummer: Det er et 32-biters felt som holder et tall for den første byten som ble sendt i et bestemt segment. Dette nummeret hjelper med å identifisere meldingene som er mottatt i orden.
- Anerkjennelsesnummer: Et 32-bits felt spesifiserer en kvitteringsmottaker forventer å motta etter vellykket overføring av tidligere byte.
- Kontrollflagg: Hver kodebitform har en spesiell betydning i TCP -sesjonsstyring som bidrar til hver pakkesegments behandling.
Ack: Validerer kvitteringsnummer for et kvitteringssegment.
Syn: Synkroniser sekvensnummer, som er satt ved igangsetting av en ny TCP -økt
Fin: Forespørsel om oppsigelse
: Forespørsler fra avsenderen om å sende presserende data
RST: Forespørsel om tilbakestilling av økten
Psh: forespørsel om push
- Vindusstørrelse: Det er glidevinduets verdi som forteller størrelsen på Send TCP -byte.
- Sjekksum: felt som holder sjekksum for feilkontroll. Dette feltet er obligatorisk i TCP i motsetning til UDP.
Beveger seg mot det andre TCP -datagrammet fanget i Wireshark -filteret. McAfee -serveren erkjenner Syn be om. Du kan merke verdiene til Syn og Ack biter satt til 1.
I den siste pakken kan du legge merke til at verten sender en bekreftelse til serveren for FTP -øktinitiering. Du kan legge merke til at Sekvensnummer og Ack Biter er satt til 1.
Etter å ha opprettet en TCP -økt, FTP -klienten og serverutvekslingen av trafikk, erkjenner FTP -klienten FTP -serveren Svar 220 pakke sendt via TCP -økt gjennom en TCP -økt. Derfor gjennomføres all informasjonsutveksling via TCP -økt på FTP -klient og FTP -server.
Etter FTP -økt fullføringen sender FTP -klienten termineringsmeldingen til serveren. Etter forespørsel om forespørsel, sender TCP -økten på serveren en oppsigelsesmelding til klientens TCP -økt. Som svar erkjenner TCP -økten på klienten termineringsdatagrammet og sender sin egen oppsigelsesøkt. Etter mottak av oppsigelsesøkten sender FTP -serveren en bekreftelse av oppsigelsen, og økten er stengt.
Advarsel
FTP bruker ikke kryptering, og påloggings- og passordopplysningene er synlige i bred dagslys. Derfor, så lenge ingen er avbrutt og du overfører sensitive filer i nettverket ditt, er det trygt. Men ikke bruk denne protokollen for å få tilgang til innhold fra internett. Bruk Sftp som bruker Secure Shell SSH for filoverføring.
FTP -passordfangst
Vi vil nå vise hvorfor det er viktig å ikke bruke FTP over internett. Vi vil se etter de spesifikke setningene i den fangede trafikken som inneholder Bruker, brukernavn, passord, etc., som instruert nedenfor.
Gå til Rediger-> “Finn pakke” og velg streng for Skjermfilter, og velg deretter Pakkebyte For å vise søkte data i ClearText.
Skriv inn strengen sende i filteret, og klikk Finne. Du finner pakken med strengen "Vennligst spesifiser passordet ” i Pakkebyte panel. Du kan også merke den uthevede pakken i Pakkeliste panel.
Åpne denne pakken i et eget Wireshark-vindu ved å høyreklikke på pakken og velg Følg-> TCP-strømmen.
Søk nå igjen, så finner du passordet i ren tekst i pakken Byte -panelet. Åpne den uthevede pakken i et eget vindu som ovenfor. Du finner brukeropplysningene i klartekst.
Konklusjon
Denne artikkelen har lært hvordan FTP fungerer, analysert hvordan TCP kontrollerer og administrerer operasjoner i en FTP -økt, og forsto hvorfor det er viktig å bruke Secure Shell -protokoller for filoverføring over Internett. Når vi kommer opp i fremtidige artikler, vil vi dekke noen av kommandolinjens grensesnitt for Wireshark.