WTP-liikluse uurimiseks Wiresharki kasutamine

Eelmine artikkel on andnud teile põhjaliku ülevaate Wiresharki filtritest, OSI kihtidest, ICMP-st ja HTTP-pakettide analüüsist. Selles artiklis õpime, kuidas FTP töötab, ja uurime FTP Wiresharki jäädvustusi. Enne kui süveneme jäädvustatud pakettide analüüsi, alustame protokolli lühikese mõistmisega.

FTP

FTP on protokoll, mida arvutid kasutavad võrgu kaudu teabe jagamiseks. Lihtsamalt öeldes on see viis failide jagamiseks ühendatud arvutite vahel. Kuna HTTP on loodud veebisaitide jaoks, on FTP optimeeritud suurte failide edastamiseks arvutite vahel.

FTP klient ehitab kõigepealt a juhtühendus päring serveri porti 21. Juhtühendus nõuab ühenduse loomiseks sisselogimist. Kuid mõned serverid muudavad kogu oma sisu kättesaadavaks ilma mandaatideta. Selliseid servereid tuntakse anonüümsete FTP-serveritena. Hiljem eraldi andmesideühendus on loodud failide ja kaustade edastamiseks.

FTP liikluse analüüs

FTP klient ja server suhtlevad, teadmata, et TCP haldab iga seanssi. TCP-d kasutatakse tavaliselt igas seansis datagrammide edastamise, saabumise ja akna suuruse haldamise juhtimiseks. Iga datagrammivahetuse jaoks algatab TCP uue seansi FTP-kliendi ja FTP-serveri vahel. Seega alustame oma analüüsi FTP-seansi algatamise ja lõpetamise jaoks saadaval oleva TCP-paketiinformatsiooniga keskmisel paanil.

Alustage pakettide püüdmist valitud liidesest ja kasutage nuppu ftp terminalis käsk saidile juurdepääsemiseks ftp.mcafee.com.

ubuntu $ ubuntu: ~ $ ftp ftp.mcafee.com

Logige sisse oma volitustega, nagu on näidatud alloleval ekraanipildil.

Kasutage Ctrl + C püüdmise peatamiseks ja FTP seansi algatamise otsimiseks, millele järgneb tcp [SYN], [SYN-ACK], ja [ACK] paketid, mis illustreerivad usaldusväärse seansi jaoks kolmesuunalist käepigistust. Rakendage TCP-filter, et näha pakettide loendi paneeli kolme esimest paketti.

Wireshark kuvab üksikasjaliku TCP-teabe, mis sobib TCP-pakettide segmendiga. Esitame TCP-paketi hostarvutist ftp McAfee serverisse, et uurida paneeli detailide paketi Transfer Control Protocol kihti. Võite märgata, et esimene TCP datagramm ftp-seansi algatamiseks määratakse ainult SYN natuke 1.

Allpool on toodud Wiresharki transpordi juhtimise protokolli kihi iga välja selgitus:

• Allikaport: 43854, see on TCP-host, kes ühenduse loob. See on arv, mis asub kõikjal üle 1023.
• Sihtsadam: 21, see on ftp-teenusega seotud pordi number. See tähendab, et FTP-server kuulab porti 21 kliendi ühenduse taotlusi.
• Järjenumber: See on 32-bitine väli, kuhu mahub number kindlas segmendis saadetud esimese baidi jaoks. See number aitab tuvastada järjekorras saadud sõnumeid.
• Tunnustusnumber: 32-bitine väli määrab kinnitusvastuvõtja, mis eeldatavasti võtab vastu pärast eelmiste baitide edukat edastamist.
• Juhtlipud: igal koodibitti vormil on TCP seansihalduses eriline tähendus, mis aitab kaasa iga paketisegmendi töötlemisele.

ACK: kinnitab kviitungisegmendi kinnitusnumbri.

SYN: sünkroonida järjekorranumber, mis määratakse uue TCP-seansi algatamisel

FIN: seansi lõpetamise taotlus

URG: saatja taotlused kiireloomuliste andmete saatmiseks

RST: seansi lähtestamise taotlus

PSH: tõuketaotlus

• Akna suurus: see on libiseva akna väärtus, mis ütleb saadetud TCP-baitide suuruse.
• Kontrollsumma: väli, millel on tõrkejuhtimise kontrollsumma. See väli on TCP-s kohustuslik, erinevalt UDP-st.

Liikumine Wiresharki filtrisse jäädvustatud teise TCP-datagrammi suunas. McAfee server tunnistab SYN taotlus. Võite märgata väärtusi SYN ja ACK bitid seatud väärtusele 1.

Viimases paketis võite märgata, et host saadab serverile kinnituse FTP-seansi algatamise kohta. Võite märgata, et Järjestuse number ja ACK bitid on seatud väärtusele 1.

Pärast TCP-seansi loomist vahetavad FTP-klient ja server liiklust, FTP-klient tunnistab FTP-serveri Vastus 220 TCP-seansi kaudu TCP-seansi kaudu saadetud pakett. Seega toimub kogu teabevahetus TCP-seansi kaudu FTP-kliendis ja FTP-serveris.

Pärast FTP seansi lõppu saadab ftp klient lõpetamissõnumi serverisse. Pärast päringu kinnitamist saadab serveri TCP-seanss kliendi TCP-seansile lõpetamisteate. Vastuseks tunnistab TCP seanss kliendis lõpetamise datagrammi ja saadab oma lõpetamise seansi. Pärast lõpetamisseansi saamist saadab FTP-server kinnituse lõpetamise kohta ja seanss on suletud.

Hoiatus

FTP ei kasuta krüpteerimist ning sisselogimise ja parooli mandaadid on nähtavad päevavalges. Seega on see ohutu seni, kuni keegi pealtkuulamist ei tee ja te edastate tundlikke faile oma võrgus. Kuid ärge kasutage seda protokolli Interneti-sisule juurdepääsemiseks. Kasutage SFTP mis kasutab failide edastamiseks turvalist shell SSH-d.

FTP parooli püüdmine

Nüüd näitame, miks on oluline FTP-d Interneti kaudu mitte kasutada. Konkreetsed fraasid otsime hõivatud liiklusest, mis sisaldab kasutaja, kasutajanimi, parool, jne., nagu allpool juhendatud.

Minema Redigeerimine-> „Paketi leidmine“ ja valige String for the Kuva filter, ja seejärel valige Pakettbaidid otsitud andmete kuvamiseks selges tekstis.

Sisestage string üle andma filtris ja klõpsake nuppu Leidke. Leiate paketi stringiga “Palun täpsustage parool ” aastal Pakettbaidid paneel. Samuti võite märgata esiletõstetud paketti Pakettide loend paneel.

Avage see pakett eraldi Wiresharki aknas, paremklõpsates paketil ja valige Jälgi-> TCP-voog.

Nüüd otsige uuesti ja paketi baitide paneelilt leiate parooli lihttekstina. Avage esiletõstetud pakett eraldi aknas, nagu ülalpool. Kasutaja mandaadid leiate selgest tekstist.

Järeldus

Selles artiklis on selgitatud, kuidas FTP töötab, analüüsitud, kuidas TCP FTP-seansi toiminguid juhib ja haldab, ning mõistnud, miks on oluline Interneti kaudu failide edastamiseks kasutada turvalisi shelliprotokolle. Tulevastes artiklites tulles käsitleme mõnda Wiresharki käsurea liidest.