Verwenden von Wireshark zum Untersuchen des FTP-Datenverkehrs

Der vorherige Artikel hat Ihnen ein tiefes Verständnis der Wireshark-Filter, OSI-Schichten, ICMP und HTTP-Paketanalyse vermittelt. In diesem Artikel erfahren wir, wie FTP funktioniert und untersuchen FTP-Wireshark-Captures examine. Bevor wir uns eingehend mit der Analyse der erfassten Pakete befassen, beginnen wir mit einem kurzen Verständnis des Protokolls.

FTP

FTP ist ein Protokoll, das von Computern verwendet wird, um Informationen über das Netzwerk auszutauschen. Einfach gesagt, es ist eine Möglichkeit, Dateien zwischen verbundenen Computern freizugeben. Da HTTP für Websites entwickelt wurde, ist FTP für große Dateiübertragungen zwischen Computern optimiert.

Der FTP-Client baut zuerst ein Steueranschluss Anfrage an den Serverport 21. Eine Steuerverbindung erfordert eine Anmeldung, um eine Verbindung aufzubauen. Einige Server stellen jedoch alle ihre Inhalte ohne Anmeldeinformationen zur Verfügung. Solche Server werden als anonyme FTP-Server bezeichnet. Später ein separates Datenverbindung ist zum Übertragen von Dateien und Ordnern eingerichtet.

FTP-Verkehrsanalyse

Der FTP-Client und der FTP-Server kommunizieren miteinander, ohne zu wissen, dass TCP jede Sitzung verwaltet every. TCP wird im Allgemeinen in jeder Sitzung verwendet, um die Übertragung, den Eingang und die Fenstergrößenverwaltung von Datagrammen zu steuern. Bei jedem Datagramm-Austausch initiiert TCP eine neue Sitzung zwischen dem FTP-Client und dem FTP-Server. Daher beginnen wir unsere Analyse mit den verfügbaren TCP-Paketinformationen für die FTP-Sitzungsinitiierung und -beendigung im mittleren Bereich.

Starten Sie die Paketerfassung von Ihrer ausgewählten Schnittstelle und verwenden Sie die ftp Befehl im Terminal, um auf die Site zuzugreifen ftp.mcafee.com.

ubuntu$ubuntu:~$ ftp ftp.mcafee.com

Melden Sie sich mit Ihren Zugangsdaten an, wie im Screenshot unten gezeigt.

Benutzen Strg+C um die Aufnahme zu stoppen und nach der Initiierung der FTP-Sitzung zu suchen, gefolgt von der tcp [SYN], [SYN-ACK], und [ACK] Pakete, die einen Drei-Wege-Handshake für eine zuverlässige Sitzung veranschaulichen. Wenden Sie den TCP-Filter an, um die ersten drei Pakete in der Paketliste anzuzeigen.

Wireshark zeigt detaillierte TCP-Informationen an, die dem TCP-Paketsegment entsprechen. Wir heben das TCP-Paket vom Host-Computer zum FTP-McAfee-Server hervor, um die Transfer Control Protocol-Schicht im Paketdetailbereich zu untersuchen. Sie können feststellen, dass das erste TCP-Datagramm für die FTP-Sitzungsinitiierung nur setzt SYN bisschen zu 1.

Die Erklärung für jedes Feld in der Transport Control Protocol-Schicht in Wireshark ist unten angegeben:

• Quellport: 43854, es ist der TCP-Host, der eine Verbindung initiiert hat. Es ist eine Zahl, die irgendwo über 1023 liegt.
• Zielhafen: 21, es ist eine Portnummer, die mit dem FTP-Dienst verbunden ist. Das heißt, der FTP-Server lauscht auf Port 21 auf Client-Verbindungsanfragen.
• Sequenznummer: Es ist ein 32-Bit-Feld, das eine Zahl für das erste Byte enthält, das in einem bestimmten Segment gesendet wird. Diese Nummer hilft bei der Identifizierung der empfangenen Nachrichten in der richtigen Reihenfolge.
• Bestätigungsnummer: Ein 32-Bit-Feld gibt an, dass ein Bestätigungsempfänger nach erfolgreicher Übertragung der vorherigen Bytes erwartet, zu empfangen.
• Kontrollflaggen: jede Codebitform hat eine besondere Bedeutung im TCP-Sitzungsmanagement, die zur Behandlung jedes Paketsegments beiträgt.

ACK: validiert die Quittungsnummer eines Empfangssegments.

SYN: Sequenznummer synchronisieren, die bei der Initiierung einer neuen TCP-Sitzung festgelegt wird

FLOSSE: Antrag auf Beendigung der Sitzung

URG: Aufforderungen des Absenders, dringende Daten zu senden

RST: Aufforderung zum Zurücksetzen der Sitzung

PSH: Bitte um Push

• Fenstergröße: es ist der Wert des Schiebefensters, der die Größe der gesendeten TCP-Bytes angibt.
• Prüfsumme: Feld, das die Prüfsumme zur Fehlerkontrolle enthält. Dieses Feld ist bei TCP im Gegensatz zu UDP obligatorisch.

Auf dem Weg zum zweiten TCP-Datagramm, das im Wireshark-Filter erfasst wurde. Der McAfee-Server bestätigt die SYN Anfrage. Sie können die Werte von SYN und ACK Bits auf . gesetzt 1.

Im letzten Paket können Sie feststellen, dass der Host eine Bestätigung an den Server für die Initiierung der FTP-Sitzung sendet. Sie können feststellen, dass die Sequenznummer und der ACK Bits sind auf . gesetzt 1.

Nach dem Aufbau einer TCP-Sitzung tauschen der FTP-Client und -Server Datenverkehr aus, der FTP-Client bestätigt den FTP-Server Antwort 220 über eine TCP-Sitzung gesendetes Paket über eine TCP-Sitzung. Daher erfolgt der gesamte Informationsaustausch über eine TCP-Sitzung am FTP-Client und FTP-Server.

Nach Abschluss der FTP-Sitzung sendet der FTP-Client die Beendigungsnachricht an den Server. Nach der Anforderungsbestätigung sendet die TCP-Sitzung auf dem Server eine Beendigungsansage an die TCP-Sitzung des Clients. Als Antwort bestätigt die TCP-Sitzung beim Client das Terminierungs-Datagramm und sendet ihre eigene Terminierungs-Session. Nach Erhalt der Beendigungssitzung sendet der FTP-Server eine Bestätigung der Beendigung und die Sitzung wird geschlossen.

Warnung

FTP verwendet keine Verschlüsselung und die Anmelde- und Passwortdaten sind am helllichten Tag sichtbar. Solange niemand belauscht und Sie sensible Dateien innerhalb Ihres Netzwerks übertragen, ist es also sicher. Verwenden Sie dieses Protokoll jedoch nicht, um auf Inhalte aus dem Internet zuzugreifen. Benutzen SFTP die Secure Shell SSH für die Dateiübertragung verwendet.

FTP-Passworterfassung

Wir zeigen jetzt, warum es wichtig ist, kein FTP über das Internet zu verwenden. Wir werden im erfassten Verkehr nach den spezifischen Phrasen suchen, die Benutzer, Benutzername, Passwort, usw., wie unten beschrieben.

Gehe zu Bearbeiten -> „Paket suchen“ und wähle String für die Anzeigefilter, und dann auswählen Paketbytes um gesuchte Daten im Klartext anzuzeigen.

Geben Sie die Zeichenfolge ein bestehen im Filter und klicken Sie auf Finden. Sie finden das Paket mit der Zeichenfolge „Bitte Passwort angeben“ in dem Paketbytes Panel. Sie können das hervorgehobene Paket auch im Paketliste Panel.

Öffnen Sie dieses Paket in einem separaten Wireshark-Fenster, indem Sie mit der rechten Maustaste auf das Paket klicken und . auswählen Folgen->TCP-Stream.

Suchen Sie nun erneut, und Sie finden das Passwort im Klartext im Paket-Byte-Panel. Öffnen Sie das markierte Paket in einem separaten Fenster wie oben. Sie finden die Benutzerdaten im Klartext.

Fazit

Dieser Artikel hat gelernt, wie FTP funktioniert, analysiert, wie TCP Vorgänge in einer FTP-Sitzung steuert und verwaltet, und hat verstanden, warum es wichtig ist, sichere Shell-Protokolle für die Dateiübertragung über das Internet zu verwenden. In zukünftigen Artikeln werden wir einige der Befehlszeilenschnittstellen für Wireshark behandeln.