Verwenden von Wireshark, um den FTP -Verkehr zu untersuchen

Jessica Schimmer
Verwenden von Wireshark, um den FTP -Verkehr zu untersuchen
Der vorherige Artikel hat Ihnen ein detailliertes Verständnis der Wireshark-Filter, OSI-Ebenen, ICMP und HTTP-Paketanalyse gegeben. In diesem Artikel werden wir erfahren, wie FTP funktioniert und FTP -Wireshark -Erfassungen untersucht. Bevor wir tief in die erfasste Paketanalyse eintauchen, beginnen wir mit einem kurzen Verständnis des Protokolls.

Ftp

FTP ist ein Protokoll, das von Computern verwendet wird, um Informationen über das Netzwerk zu teilen. Einfach ausgedrückt ist es eine Möglichkeit, Dateien zwischen verbundenen Computern zu teilen. Da HTTP für Websites erstellt wurde, ist FTP für große Dateiübertragungen zwischen Computern optimiert.

Der FTP -Client baut zuerst a Steuerverbindung Anfrage an den Serverport 21. Eine Steuerverbindung erfordert eine Anmeldung, um eine Verbindung herzustellen. Einige Server stellen jedoch alle ihre Inhalte ohne Anmeldeinformationen zur Verfügung. Solche Server sind als anonyme FTP -Server bekannt. Später ein separates Datenverbindung wird so eingerichtet, dass Dateien und Ordner übertragen werden.

FTP -Verkehrsanalyse

Der FTP -Client und der Server kommunizieren und wissen nicht, dass TCP jede Sitzung verwaltet. TCP wird in jeder Sitzung im Allgemeinen verwendet. Für jeden Datagramm -Austausch initiiert TCP eine neue Sitzung zwischen dem FTP -Client und dem FTP -Server. Daher beginnen wir unsere Analyse mit den verfügbaren TCP -Paketinformationen für die Initiierung und Beendigung der FTP -Sitzung im mittleren Bereich.

Starten Sie die Paketaufnahme von Ihrer ausgewählten Schnittstelle und verwenden Sie die ftp Befehl im Terminal, um auf die Website zuzugreifen ftp.McAfee.com.

Ubuntu $ Ubuntu: ~ $ ftp ftp.McAfee.com

Melden Sie sich mit Ihren Anmeldeinformationen an, wie im Screenshot unten gezeigt.

Verwenden Strg+c Um die Erfassung zu stoppen und nach der Initiierung der FTP -Sitzung zu suchen, gefolgt vom TCP [Syn], [Syn-ACK], Und [ACK] Pakete, die einen Drei-Wege-Handshake für eine zuverlässige Sitzung veranschaulichen. Wenden Sie den TCP -Filter an, um die ersten drei Pakete im Paketlistenfeld anzuzeigen.

Wireshark zeigt detaillierte TCP -Informationen an, die dem TCP -Paketsegment entsprechen. Wir markieren das TCP -Paket vom Host -Computer zum FTP McAfee Server, um die Protokollschicht für Transferregelung im Paketdetail -Bereich zu untersuchen. Sie können feststellen, dass das erste TCP -Datagramm für die FTP -Sitzungsinitiation nur festgelegt wird Syn Bit zu 1.

Die Erklärung für jedes Feld in der Transportkontrollprotokollschicht in Wireshark ist unten angegeben:

  • Quellport: 43854, es ist der TCP -Host, der eine Verbindung initiierte. Es ist eine Zahl, die überall über 1023 liegt.
  • Zielhafen: 21, es ist eine Portnummer, die mit dem FTP -Dienst zugeordnet ist. Das heißt, der FTP -Server hört auf Port 21 auf Clientverbindungsanforderungen zu.
  • Sequenznummer: Es ist ein 32-Bit-Feld, das eine Zahl für das erste Byte enthält. Diese Nummer hilft bei der Identifizierung der in der Reihenfolge empfangenen Nachrichten.
  • Bestätigungsnummer: Ein 32-Bit-Feld gibt an, dass ein Bestätigungsempfänger erwartet, dass er nach erfolgreicher Übertragung früherer Bytes empfangen wird.
  • Kontrollflaggen: Jedes Code -Bitformular hat eine besondere Bedeutung im TCP -Sitzungsmanagement, das zur Behandlung jedes Paketsegments beiträgt.

ACK: bestätigt die Bestätigungsnummer eines Quittungssegments.

Syn: Synchronisieren Sie die Sequenznummer, die auf die Einleitung einer neuen TCP -Sitzung eingestellt ist

FLOSSE: Anfrage zur Sitzung der Sitzung

URG: Anfragen des Absenders, dringende Daten zu senden

RST: Anfrage zum Zurücksetzen der Sitzung

PSH: Anfrage zum Push

  • Fenstergröße: Es ist der Wert des Schiebfensters, der die Größe von gesendeten TCP -Bytes zeigt.
  • Prüfsumme: Feld, das die Prüfsumme für die Fehlersteuerung enthält. Dieses Feld ist in TCP im Gegensatz zu UDP obligatorisch.

Bewegen Sie sich dem zweiten TCP -Datagramm, der im Wireshark -Filter erfasst wurde. Der McAfee -Server bestätigt die Syn Anfrage. Sie können die Werte von bemerken Syn Und Ack Bits auf 1.

Im letzten Paket können Sie feststellen, dass der Host eine Bestätigung an den Server für die FTP -Sitzungsinitiation sendet. Sie können feststellen, dass die Sequenznummer und das Ack Bits sind auf 1.

Nach der Einrichtung einer TCP Antwort 220 Paket über eine TCP -Sitzung über eine TCP -Sitzung gesendet. Daher wird der gesamte Informationsaustausch über TCP -Sitzung bei FTP Client und FTP Server durchgeführt.

Nach Abschluss der FTP -Sitzung sendet der FTP -Client die Kündigungsnachricht an den Server. Nach der Anforderungsermittlung sendet die TCP -Sitzung auf dem Server eine Beendigungserklärung an die TCP -Sitzung des Clients. Als Reaktion darauf bestätigt die TCP -Sitzung im Client das Kündigungsdatagramm und sendet eine eigene Beendungssitzung. Nach Erhalt der Beendigung Sitzung sendet der FTP -Server eine Bestätigung der Beendigung, und die Sitzung ist geschlossen.

Warnung

FTP verwendet keine Verschlüsselung, und die Anmeldeinformationen für Anmeldungs- und Kennwort sind am helllichten Tageslicht sichtbar. Solange niemand lauert und Sie sensible Dateien in Ihrem Netzwerk übertragen, ist es sicher, sicher. Verwenden Sie dieses Protokoll jedoch nicht, um auf Inhalte aus dem Internet zuzugreifen. Verwenden Sftp Dadurch verwendet sich Secure Shell SSH für die Dateiübertragung.

FTP -Passwortaufnahme

Wir werden jetzt zeigen, warum es wichtig ist, FTP nicht über das Internet zu verwenden. Wir werden nach den spezifischen Phrasen im erfassten Verkehr suchen, der enthält Benutzer, Benutzername, Passwort, usw., Wie unten angewiesen.

Gehe zu Bearbeiten-> "Paket finden" und wählen Sie String für die Filter anzeigen, und dann auswählen Paket Bytes Suchdaten in ClearText anzeigen.

Geben Sie die Zeichenfolge ein passieren im Filter und klicken Sie auf Finden. Sie finden das Paket mit der Zeichenfolge “Bitte geben Sie das Passwort an “ im Paket Bytes Panel. Sie können auch das hervorgehobene Paket in der Paketliste Panel.

Öffnen Sie dieses Paket in einem separaten WireShark-Fenster, indem Sie mit der rechten Maustaste auf das Paket klicken und auswählen Follow-> TCP-Stream.

Suchen Sie nun erneut und finden Sie das Passwort im Klartext im Paket -Byte -Panel. Öffnen Sie das hervorgehobene Paket in einem separaten Fenster wie oben. Sie finden die Benutzeranmeldeinformationen in PlainText.

Abschluss

Dieser Artikel hat erfahren, wie FTP funktioniert, analysiert wurde, wie TCP den Vorgang in einer FTP. In zukünftigen Artikeln werden wir einige der Befehlszeilenschnittstellen für Wireshark abdecken.

Oracle -Datenbank
So löschen Sie die Sequenz in Oracle?
Die Sequenz kann in der Oracle -Datenbank mit dem Befehl Drop, PL/SQL -Codeblock oder dem Tool SQL D...
Mohamed Flore
Oracle -Datenbank
Wie man Oracle -Sequenz zwischendurchschnittlich ist, um die Ressourcen des Datenwörterbuchs zu verbessern?
Die Optionen Cache, NoOnder und Halten können verwendet werden, um die Oracle -Sequenz zu cache, um ...
Christopher Lammert
c scharf
Was sind Fluchtsequenzen in C#
Escape -Sequenz in C# ist eine Folge von Zeichen, die eine besondere Bedeutung darstellt, wenn sie i...
Frederik Rodehau
Ubuntu
So installieren Sie CUDA auf Ubuntu Top 10.Top 10 Lts
Stephan Harms
Windows OS
So schalten Sie Remote -Desktop auf dem PC ein
Mohamed Flore
JavaScript
Verwendung von GetElementsByTagName -Methoden in JavaScript
Ahmed Stöckert
AWS
Was ist der Batch -Prozess und wie man ihn in AWS verwendet??
Arved Riermeier
Oracle -Datenbank
Wie sich die Oracle -Datenbank vom Oracle SQL -Entwickler unterscheidet?
Fr. Chris Frisch
Oracle -Datenbank
Was ist der Zweck von Oracle Cerner??
Hussein Burkhard
Oracle -Datenbank
Ist die Oracle -Datenbank ähnlich wie bei der MySQL -Datenbank? | Erklärt
Ansgar Radtke
Java
Was ist das Standard -Schlüsselwort in Switch -Anweisungen??
Lars Daub
Power Shell
So verwenden Sie den Befehl „Get-Service“ in PowerShell
Fr. Chris Frisch
Git
So generieren Sie eine Git -Datei mit dem Terminal? | Erklärt
Prof. Dr. Julien Plank