Verwenden von Wireshark, um den FTP -Verkehr zu untersuchen

Jessica Schimmer
Verwenden von Wireshark, um den FTP -Verkehr zu untersuchen
Der vorherige Artikel hat Ihnen ein detailliertes Verständnis der Wireshark-Filter, OSI-Ebenen, ICMP und HTTP-Paketanalyse gegeben. In diesem Artikel werden wir erfahren, wie FTP funktioniert und FTP -Wireshark -Erfassungen untersucht. Bevor wir tief in die erfasste Paketanalyse eintauchen, beginnen wir mit einem kurzen Verständnis des Protokolls.

Ftp

FTP ist ein Protokoll, das von Computern verwendet wird, um Informationen über das Netzwerk zu teilen. Einfach ausgedrückt ist es eine Möglichkeit, Dateien zwischen verbundenen Computern zu teilen. Da HTTP für Websites erstellt wurde, ist FTP für große Dateiübertragungen zwischen Computern optimiert.

Der FTP -Client baut zuerst a Steuerverbindung Anfrage an den Serverport 21. Eine Steuerverbindung erfordert eine Anmeldung, um eine Verbindung herzustellen. Einige Server stellen jedoch alle ihre Inhalte ohne Anmeldeinformationen zur Verfügung. Solche Server sind als anonyme FTP -Server bekannt. Später ein separates Datenverbindung wird so eingerichtet, dass Dateien und Ordner übertragen werden.

FTP -Verkehrsanalyse

Der FTP -Client und der Server kommunizieren und wissen nicht, dass TCP jede Sitzung verwaltet. TCP wird in jeder Sitzung im Allgemeinen verwendet. Für jeden Datagramm -Austausch initiiert TCP eine neue Sitzung zwischen dem FTP -Client und dem FTP -Server. Daher beginnen wir unsere Analyse mit den verfügbaren TCP -Paketinformationen für die Initiierung und Beendigung der FTP -Sitzung im mittleren Bereich.

Starten Sie die Paketaufnahme von Ihrer ausgewählten Schnittstelle und verwenden Sie die ftp Befehl im Terminal, um auf die Website zuzugreifen ftp.McAfee.com.

Ubuntu $ Ubuntu: ~ $ ftp ftp.McAfee.com

Melden Sie sich mit Ihren Anmeldeinformationen an, wie im Screenshot unten gezeigt.

Verwenden Strg+c Um die Erfassung zu stoppen und nach der Initiierung der FTP -Sitzung zu suchen, gefolgt vom TCP [Syn], [Syn-ACK], Und [ACK] Pakete, die einen Drei-Wege-Handshake für eine zuverlässige Sitzung veranschaulichen. Wenden Sie den TCP -Filter an, um die ersten drei Pakete im Paketlistenfeld anzuzeigen.

Wireshark zeigt detaillierte TCP -Informationen an, die dem TCP -Paketsegment entsprechen. Wir markieren das TCP -Paket vom Host -Computer zum FTP McAfee Server, um die Protokollschicht für Transferregelung im Paketdetail -Bereich zu untersuchen. Sie können feststellen, dass das erste TCP -Datagramm für die FTP -Sitzungsinitiation nur festgelegt wird Syn Bit zu 1.

Die Erklärung für jedes Feld in der Transportkontrollprotokollschicht in Wireshark ist unten angegeben:

  • Quellport: 43854, es ist der TCP -Host, der eine Verbindung initiierte. Es ist eine Zahl, die überall über 1023 liegt.
  • Zielhafen: 21, es ist eine Portnummer, die mit dem FTP -Dienst zugeordnet ist. Das heißt, der FTP -Server hört auf Port 21 auf Clientverbindungsanforderungen zu.
  • Sequenznummer: Es ist ein 32-Bit-Feld, das eine Zahl für das erste Byte enthält. Diese Nummer hilft bei der Identifizierung der in der Reihenfolge empfangenen Nachrichten.
  • Bestätigungsnummer: Ein 32-Bit-Feld gibt an, dass ein Bestätigungsempfänger erwartet, dass er nach erfolgreicher Übertragung früherer Bytes empfangen wird.
  • Kontrollflaggen: Jedes Code -Bitformular hat eine besondere Bedeutung im TCP -Sitzungsmanagement, das zur Behandlung jedes Paketsegments beiträgt.

ACK: bestätigt die Bestätigungsnummer eines Quittungssegments.

Syn: Synchronisieren Sie die Sequenznummer, die auf die Einleitung einer neuen TCP -Sitzung eingestellt ist

FLOSSE: Anfrage zur Sitzung der Sitzung

URG: Anfragen des Absenders, dringende Daten zu senden

RST: Anfrage zum Zurücksetzen der Sitzung

PSH: Anfrage zum Push

  • Fenstergröße: Es ist der Wert des Schiebfensters, der die Größe von gesendeten TCP -Bytes zeigt.
  • Prüfsumme: Feld, das die Prüfsumme für die Fehlersteuerung enthält. Dieses Feld ist in TCP im Gegensatz zu UDP obligatorisch.

Bewegen Sie sich dem zweiten TCP -Datagramm, der im Wireshark -Filter erfasst wurde. Der McAfee -Server bestätigt die Syn Anfrage. Sie können die Werte von bemerken Syn Und Ack Bits auf 1.

Im letzten Paket können Sie feststellen, dass der Host eine Bestätigung an den Server für die FTP -Sitzungsinitiation sendet. Sie können feststellen, dass die Sequenznummer und das Ack Bits sind auf 1.

Nach der Einrichtung einer TCP Antwort 220 Paket über eine TCP -Sitzung über eine TCP -Sitzung gesendet. Daher wird der gesamte Informationsaustausch über TCP -Sitzung bei FTP Client und FTP Server durchgeführt.

Nach Abschluss der FTP -Sitzung sendet der FTP -Client die Kündigungsnachricht an den Server. Nach der Anforderungsermittlung sendet die TCP -Sitzung auf dem Server eine Beendigungserklärung an die TCP -Sitzung des Clients. Als Reaktion darauf bestätigt die TCP -Sitzung im Client das Kündigungsdatagramm und sendet eine eigene Beendungssitzung. Nach Erhalt der Beendigung Sitzung sendet der FTP -Server eine Bestätigung der Beendigung, und die Sitzung ist geschlossen.

Warnung

FTP verwendet keine Verschlüsselung, und die Anmeldeinformationen für Anmeldungs- und Kennwort sind am helllichten Tageslicht sichtbar. Solange niemand lauert und Sie sensible Dateien in Ihrem Netzwerk übertragen, ist es sicher, sicher. Verwenden Sie dieses Protokoll jedoch nicht, um auf Inhalte aus dem Internet zuzugreifen. Verwenden Sftp Dadurch verwendet sich Secure Shell SSH für die Dateiübertragung.

FTP -Passwortaufnahme

Wir werden jetzt zeigen, warum es wichtig ist, FTP nicht über das Internet zu verwenden. Wir werden nach den spezifischen Phrasen im erfassten Verkehr suchen, der enthält Benutzer, Benutzername, Passwort, usw., Wie unten angewiesen.

Gehe zu Bearbeiten-> "Paket finden" und wählen Sie String für die Filter anzeigen, und dann auswählen Paket Bytes Suchdaten in ClearText anzeigen.

Geben Sie die Zeichenfolge ein passieren im Filter und klicken Sie auf Finden. Sie finden das Paket mit der Zeichenfolge “Bitte geben Sie das Passwort an “ im Paket Bytes Panel. Sie können auch das hervorgehobene Paket in der Paketliste Panel.

Öffnen Sie dieses Paket in einem separaten WireShark-Fenster, indem Sie mit der rechten Maustaste auf das Paket klicken und auswählen Follow-> TCP-Stream.

Suchen Sie nun erneut und finden Sie das Passwort im Klartext im Paket -Byte -Panel. Öffnen Sie das hervorgehobene Paket in einem separaten Fenster wie oben. Sie finden die Benutzeranmeldeinformationen in PlainText.

Abschluss

Dieser Artikel hat erfahren, wie FTP funktioniert, analysiert wurde, wie TCP den Vorgang in einer FTP. In zukünftigen Artikeln werden wir einige der Befehlszeilenschnittstellen für Wireshark abdecken.

Power Shell
So verwenden Sie das CMDLET Write-Output in PowerShell?
Das CMDLET-Schreibausgang wird zum Schreiben von Objekten in die Pipeline verwendet. In erster Linie...
Jessica Schimmer
C -Programmierung
IF-ELSE-Anweisung in der C-Programmierung
Die IF-ELSE-Erklärung ist ein entscheidendes Konzept in der C-Programmierung, das die Entscheidungsf...
Ansgar Radtke
C ++
Was ist während der Schleife in C++?
Die while -Schleife in C ++ ermöglicht es dem Programm, wiederholt einen Codeblock auszuführen, sola...
Ansgar Radtke
Python
Python rufen Sie eine statische Methode innerhalb der Klasse auf
Arved Riermeier
Python
Wie konvertiere ich eine Ausnahme in eine Schnur in Python?
Ahmed Stöckert
Golang
Einführung in die Golang -Programmiersprache
Prof. Dr. Julien Plank
Zwangsversteigerung
Salesforce Data Loader
Mohamed Flore
Linux -Befehle
So installieren und aktivieren Sie die SSH-Multi-Faktor-Authentifizierung für Linux-Systeme
Gian Eisenlauer
Php
So verwenden Sie PHP -Serialisierungsfunktion
Prof. Dr. Julien Plank
Golang
Was ist Vererbung in Golang
Jean Dengler
Oracle -Datenbank
Welche Art von Datenbank ist Oracle Top 10g?
Gian Eisenlauer
Java
Was ist Import Java.io.*; in Java?
Ansgar Radtke
Power Shell
Können Sie die Funktionalität des Befehls Get Location von PowerShell erklären??
Stephan Harms