FTP
FTP je protokol používaný počítači ke sdílení informací v síti. Jednoduše řečeno, je to způsob sdílení souborů mezi připojenými počítači. Protože je HTTP vytvořen pro webové stránky, je FTP optimalizován pro přenos velkých souborů mezi počítači.
Klient FTP nejprve vytvoří a ovládací připojení požadavek na port serveru 21. Řídicí připojení k přihlášení vyžaduje přihlášení. Některé servery ale zpřístupňují veškerý svůj obsah bez přihlašovacích údajů. Takové servery se označují jako anonymní servery FTP. Později samostatný datové připojení je založen pro přenos souborů a složek.
Analýza provozu FTP
Klient a server FTP komunikují, aniž by věděli, že TCP řídí každou relaci. TCP se obecně používá v každé relaci k řízení doručování, příchodu a správy velikosti datagramu. U každé výměny datagramu zahájí TCP novou relaci mezi klientem FTP a serverem FTP. Proto začneme naši analýzu s dostupnými informacemi o paketu TCP pro zahájení a ukončení relace FTP ve středním panelu.
Spusťte snímání paketů z vybraného rozhraní a použijte ftp příkaz v terminálu pro přístup na web ftp.mcafee.com.
ubuntu $ ubuntu: ~ $ ftp ftp.mcafee.com
Přihlaste se pomocí svých přihlašovacích údajů, jak je znázorněno na následujícím obrázku.
Použití Ctrl + C zastavit zachycení a vyhledat zahájení relace FTP, po kterém následuje tcp [SYN], [SYN-ACK], a [ACK] pakety ilustrující třícestné podání ruky pro spolehlivou relaci. Pomocí filtru tcp zobrazíte první tři pakety v panelu Seznam paketů.
Wireshark zobrazuje podrobné informace o TCP, které odpovídají segmentu paketů TCP. Zvýrazníme paket TCP z hostitelského počítače na server ftp McAfee, abychom studovali vrstvu protokolu přenosu řízení na panelu podrobností paketu. Můžete si všimnout, že se nastavuje pouze první datagram TCP pro zahájení relace ftp SYN trochu do 1.
Vysvětlení pro každé pole ve vrstvě Transport Control Protocol ve Wireshark je uvedeno níže:
- Zdrojový port: 43854, je to hostitel TCP, který zahájil připojení. Je to číslo, které leží kdekoli nad 1023.
- Cílový port: 21, je to číslo portu spojené se službou ftp. To znamená, že server FTP naslouchá na portu 21 žádostí o připojení klienta.
- Pořadové číslo: Je to 32bitové pole, které obsahuje číslo pro první bajt odeslaný v konkrétním segmentu. Toto číslo pomáhá při identifikaci přijatých zpráv v pořádku.
- Číslo potvrzení: 32bitové pole určuje, že přijímač potvrzení přijme po úspěšném přenosu předchozích bytů.
- Kontrolní vlajky: každá forma bitového kódu má ve správě relací TCP zvláštní význam, který přispívá k léčbě každého segmentu paketu.
ACK: ověří číslo potvrzení segmentu příjmu.
SYN: synchronizovat pořadové číslo, které je nastaveno při zahájení nové relace TCP
PLOUTEV: žádost o ukončení relace
URG: žádosti odesílatele o zaslání urgentních údajů
RST: žádost o resetování relace
PSH: žádost o push
- Velikost okna: je to hodnota posuvného okna, která udává velikost odeslaných bajtů TCP.
- Kontrolní součet: pole, které obsahuje kontrolní součet pro kontrolu chyb. Toto pole je v TCP povinné na rozdíl od UDP.
Posun směrem k druhému datagramu TCP zachycenému ve filtru Wireshark. Server McAfee potvrzuje SYN žádost. Můžete si všimnout hodnot SYN a ACK bity nastaveny na 1.
V posledním paketu si můžete všimnout, že hostitel pošle serveru potvrzení o zahájení relace FTP. Můžete si všimnout, že Pořadové číslo a ACK bity jsou nastaveny na 1.
Po navázání relace TCP si klient a server FTP vymění určitý provoz, klient FTP server FTP potvrdí Odpověď 220 paket odeslaný prostřednictvím relace TCP prostřednictvím relace TCP. Veškerá výměna informací se tedy provádí prostřednictvím relace TCP na FTP klientovi a FTP serveru.
Po dokončení relace FTP odešle klient ftp zprávu o ukončení na server. Po potvrzení požadavku odešle relace TCP na serveru oznámení o ukončení relace TCP klienta. V reakci na to relace TCP u klienta potvrdí datagram ukončení a odešle vlastní relaci ukončení. Po přijetí relace ukončení server FTP odešle potvrzení ukončení a relace je uzavřena.
Varování
FTP nepoužívá šifrování a přihlašovací údaje a přihlašovací údaje pro heslo jsou viditelné za bílého dne. Pokud tedy nikdo neodposlouchává a přenášíte citlivé soubory v síti, je to bezpečné. Nepoužívejte však tento protokol pro přístup k obsahu z internetu. Použití SFTP který používá zabezpečený shell SSH pro přenos souborů.
Zachycení hesla FTP
Nyní ukážeme, proč je důležité nepoužívat FTP přes internet. Budeme hledat konkrétní fráze v zachyceném provozu obsahující uživatel, uživatelské jméno, heslo, atd., podle pokynů níže.
Jít do Upravit-> „Najít paket“ a vyberte řetězec pro Filtr displeje, a poté vyberte Bajty paketů zobrazit hledaná data v čistém textu.
Zadejte řetězec složit ve filtru a klikněte na Nalézt. Paket s řetězcem najdete „Zadejte heslo “ v Bajty paketů panel. Můžete si také všimnout zvýrazněného paketu v Seznam paketů panel.
Otevřete tento paket v samostatném okně Wireshark kliknutím pravým tlačítkem na paket a výběrem Sledovat-> TCP stream.
Nyní vyhledejte znovu a heslo najdete v prostém textu na panelu Packet byte. Otevřete zvýrazněný paket v samostatném okně, jak je uvedeno výše. Pověření uživatele najdete v holém textu.
Závěr
Tento článek se naučil, jak funguje FTP, analyzoval, jak TCP řídí a spravuje operace v relaci FTP, a pochopil, proč je pro přenos souborů přes internet důležité používat zabezpečené shellové protokoly. V následujících článcích se budeme věnovat některým rozhraním příkazového řádku pro Wireshark.