Phenquestions
FTP
FTP je protokol používaný počítačmi na zdieľanie informácií v sieti. Jednoducho povedané, je to spôsob zdieľania súborov medzi pripojenými počítačmi. Pretože je HTTP vytvorený pre webové stránky, FTP je optimalizovaný na prenos veľkých súborov medzi počítačmi.
Klient FTP najskôr zostaví a riadiace pripojenie požiadavka na port servera 21. Pre nadviazanie spojenia je k riadenému spojeniu potrebné prihlásenie. Niektoré servery ale sprístupňujú všetok svoj obsah bez akýchkoľvek poverení. Takéto servery sú známe ako anonymné servery FTP. Neskôr samostatná Dátové pripojenie je určený na prenos súborov a priečinkov.
Analýza prenosu na FTP
Klient a server FTP komunikujú bez toho, aby si uvedomovali, že TCP riadi každú reláciu. TCP sa všeobecne používa v každej relácii na riadenie dodávania, príchodu a správy veľkosti datagramu. Pri každej výmene datagramov inicializuje TCP novú reláciu medzi klientom FTP a serverom FTP. Preto začneme našu analýzu dostupnými informáciami o pakete TCP pre začatie a ukončenie relácie FTP v strednom paneli.
Spustite zachytávanie paketov z vybraného rozhrania a použite príkaz ftp príkaz v termináli na prístup na stránku ftp.mcafee.com.
ubuntu $ ubuntu: ~ $ ftp ftp.mcafee.com
Prihláste sa pomocou svojich prihlasovacích údajov, ako je to znázornené na snímke obrazovky nižšie.
Použite Ctrl + C zastavte zachytávanie a vyhľadajte inicializáciu relácie FTP, po ktorej nasleduje príkaz tcp [SYN], [SYN-ACK], a [ACK] pakety ilustrujúce trojstranné podanie ruky pre spoľahlivú reláciu. Použite filter tcp, aby ste videli prvé tri pakety na paneli Zoznam paketov.
Wireshark zobrazuje podrobné informácie o TCP, ktoré zodpovedajú segmentu paketov TCP. Zvýrazníme paket TCP z hostiteľského počítača na server ftp McAfee, aby sme študovali vrstvu protokolu riadenia prenosu na paneli podrobností paketu. Môžete si všimnúť, že prvý TCP datagram pre inicializáciu relácie ftp sa iba nastaví SYN trochu do 1.
Vysvetlenie každého poľa vo vrstve protokolu riadenia dopravy vo Wireshark je uvedené nižšie:
- Zdrojový port: 43854, je to hostiteľ TCP, ktorý inicioval pripojenie. Je to číslo, ktoré leží kdekoľvek nad 1023.
- Cieľový prístav: 21, je to číslo portu spojené so službou ftp. To znamená, že server FTP počúva na porte 21 žiadosti o pripojenie klienta.
- Poradové číslo: Je to 32-bitové pole, ktoré obsahuje číslo pre prvý bajt odoslaný v konkrétnom segmente. Toto číslo pomáha pri identifikácii správ prijatých v poriadku.
- Číslo potvrdenia: 32-bitové pole určuje potvrdenie, ktoré prijímač očakáva, že dostane po úspešnom prenose predchádzajúcich bajtov.
- Kontrolné vlajky: každá forma bitového kódu má v správe relácie TCP osobitný význam, ktorý prispieva k liečbe každého segmentu paketu.
ACK: potvrdzuje číslo potvrdenia segmentu príjmu.
SYN: synchronizovať poradové číslo, ktoré sa nastaví na začiatku novej relácie TCP
FIN: žiadosť o ukončenie relácie
URG: žiadosti odosielateľa o zaslanie urgentných údajov
RST: žiadosť o resetovanie relácie
PSH: žiadosť o push
- Veľkosť okna: je to hodnota posuvného okna, ktorá udáva veľkosť odoslaných bajtov TCP.
- Kontrolný súčet: pole, ktoré obsahuje kontrolný súčet na kontrolu chýb. Toto pole je v TCP povinné na rozdiel od UDP.
Pohybom k druhému TCP datagramu zachytenému vo filtri Wireshark. Server McAfee berie na vedomie SYN žiadosť. Môžete si všimnúť hodnoty SYN a ACK bity nastavené na 1.
V poslednom pakete si môžete všimnúť, že hostiteľ odošle serveru potvrdenie o začatí relácie FTP. Môžete si všimnúť, že Poradové číslo a ACK bity sú nastavené na 1.
Po nadviazaní relácie TCP si klient FTP a server vymieňajú určitý prenos, klient FTP server FTP potvrdí Odpoveď 220 paket odoslaný cez reláciu TCP prostredníctvom relácie TCP. Preto sa všetka výmena informácií uskutočňuje prostredníctvom relácie TCP na FTP klientovi a FTP serveri.
Po dokončení relácie FTP klient ftp odošle správu o ukončení na server. Po potvrdení žiadosti relácia TCP na serveri odošle oznámenie o ukončení relácii TCP klienta. V odpovedi relácia TCP na strane klienta potvrdí datagram ukončenia a odošle svoju vlastnú reláciu ukončenia. Po prijatí ukončovacej relácie odošle server FTP potvrdenie o ukončení a relácia sa ukončí.
Pozor
FTP nepoužíva šifrovanie a prihlasovacie údaje a prihlasovacie údaje sú viditeľné za bieleho dňa. Preto, pokiaľ nikto neodpočúva a prenášate citlivé súbory v sieti, je to bezpečné. Nepoužívajte však tento protokol na prístup k obsahu z internetu. Použite SFTP ktorý na prenos súborov používa zabezpečený shell SSH.
Zachytenie hesla FTP
Teraz si ukážeme, prečo je dôležité nepoužívať FTP cez internet. Budeme hľadať konkrétne frázy v zachytenej prevádzke, ktoré obsahujú užívateľ, užívateľské meno, heslo, atď., podľa pokynov uvedených nižšie.
Ísť do Upraviť-> „Nájsť paket“ a vyberte reťazec pre Filter displeja, a potom vyberte Bajty paketov zobraziť hľadané údaje v čistom texte.
Zadajte reťazec prejsť vo filtri a kliknite na ikonu Nájsť. Nájdete balíček s reťazcom „Prosím zadajte heslo “ v Bajty paketov panel. Môžete si tiež všimnúť zvýraznený paket v Zoznam paketov panel.
Tento paket otvorte v samostatnom okne Wireshark kliknutím pravým tlačidlom myši na paket a výberom Sledovať-> TCP stream.
Teraz hľadajte znova a heslo nájdete v obyčajnom texte na paneli Packet byte. Otvorte zvýraznený paket v samostatnom okne, ako je uvedené vyššie. Poverenia používateľa nájdete v holom texte.
Záver
Tento článok sa naučil, ako funguje FTP, analyzoval, ako TCP riadi a riadi operácie v relácii FTP, a pochopil, prečo je na prenos súborov cez internet dôležité používať zabezpečené protokoly shellu. V ďalších článkoch sa budeme venovať niektorým rozhraniam príkazového riadku pre Wireshark.
