Wireshark gebruiken om FTP-verkeer te onderzoeken

Het vorige artikel heeft u een diepgaand inzicht gegeven in de Wireshark-filters, OSI-lagen, ICMP en HTTP-pakketanalyse. In dit artikel zullen we leren hoe FTP werkt en FTP Wireshark-opnames onderzoeken. Voordat we diep ingaan op de vastgelegde pakketanalyse, beginnen we met een kort begrip van het protocol.

FTP

FTP is een protocol dat door computers wordt gebruikt om informatie via het netwerk te delen. Simpel gezegd, het is een manier om bestanden te delen tussen aangesloten computers. Omdat HTTP is gebouwd voor websites, is FTP geoptimaliseerd voor grote bestandsoverdrachten tussen computers.

De FTP-client bouwt eerst een controle verbinding verzoek naar de serverpoort 21. Een besturingsverbinding vereist een login om een ​​verbinding tot stand te brengen. Maar sommige servers stellen al hun inhoud beschikbaar zonder enige inloggegevens. Dergelijke servers staan ​​bekend als anonieme FTP-servers. later een aparte dataverbinding is ingesteld om bestanden en mappen over te dragen.

FTP-verkeersanalyse

De FTP-client en -server communiceren terwijl ze niet weten dat TCP elke sessie beheert. TCP wordt over het algemeen in elke sessie gebruikt om de levering, aankomst en het beheer van de venstergrootte te regelen. Voor elke datagramuitwisseling initieert TCP een nieuwe sessie tussen de FTP-client en de FTP-server. Daarom beginnen we onze analyse met de beschikbare TCP-pakketinformatie voor het starten en beëindigen van de FTP-sessie in het middelste paneel.

Start pakketopname vanuit uw geselecteerde interface en gebruik de use ftp commando in de terminal om toegang te krijgen tot de site ftp.mcafee.com.

ubuntu$ubuntu:~$ ftp ftp.mcafee.com

Log in met uw inloggegevens, zoals weergegeven in de onderstaande schermafbeelding.

Gebruik Ctrl+C om het vastleggen te stoppen en te zoeken naar de initiatie van de FTP-sessie, gevolgd door de tcp [SYN], [SYN-ACK], en [ACK] pakketten die een drieweg-handshake illustreren voor een betrouwbare sessie. Pas tcp-filter toe om de eerste drie pakketten in het paneel Pakketlijst te zien.

Wireshark geeft gedetailleerde TCP-informatie weer die overeenkomt met het TCP-pakketsegment. We markeren het TCP-pakket van de hostcomputer naar de ftp McAfee-server om de Transfer Control Protocol-laag in het Packet-detailpaneel te bestuderen. U kunt opmerken dat het eerste TCP-datagram voor de ftp-sessie-initiatie alleen sets SYN beetje te 1.

De uitleg voor elk veld in de Transport Control Protocol-laag in Wireshark wordt hieronder gegeven:

• Bronpoort: 43854, het is de TCP-host die een verbinding tot stand heeft gebracht. Het is een getal dat ergens boven 1023 . ligt.
• Haven van bestemming: 21, het is een poortnummer dat is gekoppeld aan de ftp-service. Dat betekent dat de FTP-server luistert op poort 21 voor clientverbindingsverzoeken.
• Volgnummer: Het is een 32-bits veld dat een nummer bevat voor de eerste byte die in een bepaald segment wordt verzonden. Dit nummer helpt bij het identificeren van de berichten die op volgorde zijn ontvangen.
• Erkenningsnummer: Een 32-bits veld geeft aan dat een ontvangstbevestiging verwacht te ontvangen na succesvolle verzending van eerdere bytes.
• Controle vlaggen: elke codebitvorm heeft een speciale betekenis in TCP-sessiebeheer die bijdraagt ​​aan de behandeling van elk pakketsegment.

AK: valideert het bevestigingsnummer van een ontvangstsegment.

SYN: synchroniseer het volgnummer, dat is ingesteld bij het starten van een nieuwe TCP-sessie

VIN: verzoek om sessiebeëindiging

DRINGEND: verzoeken van de afzender om dringende gegevens te verzenden

RST: verzoek om de sessie te resetten

PSH: verzoek om push

• Venstergrootte: het is de waarde van het schuifvenster die de grootte van de verzonden TCP-bytes aangeeft.
• Controlesom: veld dat controlesom bevat voor foutcontrole. Dit veld is verplicht in TCP in tegenstelling tot UDP.

Op weg naar het tweede TCP-datagram dat is vastgelegd in het Wireshark-filter. De McAfee-server bevestigt de: SYN verzoek. U kunt de waarden van opmerken SYN en ACK bits ingesteld op 1.

In het laatste pakket ziet u dat de host een bevestiging naar de server stuurt voor het starten van een FTP-sessie. Je kunt merken dat de Volgnummer en de ACK bits zijn ingesteld op 1.

Na het opzetten van een TCP-sessie wisselen de FTP-client en de server wat verkeer uit, de FTP-client bevestigt de FTP-server Reactie 220 pakket verzonden via TCP-sessie via een TCP-sessie. Daarom wordt alle informatie-uitwisseling uitgevoerd via een TCP-sessie op een FTP-client en FTP-server.

Nadat de FTP-sessie is voltooid, stuurt de FTP-client het beëindigingsbericht naar de server. Na bevestiging van het verzoek stuurt de TCP-sessie op de server een beëindigingsaankondiging naar de TCP-sessie van de client. Als reactie bevestigt de TCP-sessie bij de client het beëindigingsdatagram en verzendt zijn eigen beëindigingssessie. Na ontvangst van de beëindigingssessie stuurt de FTP-server een bevestiging van de beëindiging en wordt de sessie gesloten.

Waarschuwing

FTP maakt geen gebruik van codering en de inlog- en wachtwoordgegevens zijn op klaarlichte dag zichtbaar. Dus zolang niemand meeluistert en u gevoelige bestanden overdraagt ​​binnen uw netwerk, is het veilig. Maar gebruik dit protocol niet om toegang te krijgen tot inhoud van internet. Gebruik SFTP die veilige shell SSH gebruikt voor bestandsoverdracht.

FTP-wachtwoord vastleggen

We zullen nu laten zien waarom het belangrijk is om geen FTP via internet te gebruiken. We zullen zoeken naar de specifieke zinnen in het vastgelegde verkeer met: gebruiker, gebruikersnaam, wachtwoord, enz., zoals hieronder aangegeven:.

Ga naar Bewerken-> "Zoek pakket" en kies String voor de Weergavefilter, en selecteer vervolgens Pakketbytes om gezochte gegevens in leesbare tekst weer te geven.

Typ de tekenreeks in voorbij lopen in het filter en klik op Vind. U vindt het pakket met de string "Geef het wachtwoord op” in de Pakketbytes paneel. U kunt het gemarkeerde pakket ook opmerken in de Pakketlijst paneel.

Open dit pakket in een apart Wireshark-venster door met de rechtermuisknop op het pakket te klikken en te selecteren: Volg->TCP-stream.

Zoek nu opnieuw en u vindt het wachtwoord in platte tekst in het pakketbytepaneel. Open het gemarkeerde pakket in een apart venster zoals hierboven. U vindt de gebruikersgegevens in platte tekst plain.

Conclusie

Dit artikel heeft geleerd hoe FTP werkt, geanalyseerd hoe TCP bewerkingen in een FTP-sessie controleert en beheert, en begrijpt waarom het belangrijk is om veilige shell-protocollen te gebruiken voor bestandsoverdracht via internet. In toekomstige artikelen zullen we enkele van de opdrachtregelinterfaces voor Wireshark behandelen.