Utilizzo di Wireshark per esaminare il traffico FTP

L'articolo precedente ti ha fornito una comprensione approfondita dei filtri Wireshark, dei livelli OSI, dell'ICMP e dell'analisi dei pacchetti HTTP. In questo articolo, impareremo come funziona FTP ed esamineremo le acquisizioni FTP Wireshark. Prima di approfondire l'analisi dei pacchetti acquisiti, inizieremo con una breve comprensione del protocollo.

FTP

FTP è un protocollo utilizzato dai computer per condividere informazioni in rete. In poche parole, è un modo per condividere file tra computer collegati. Poiché HTTP è progettato per i siti Web, FTP è ottimizzato per trasferimenti di file di grandi dimensioni tra computer.

Il client FTP prima costruisce a connessione di controllo richiesta alla porta del server 21. Una connessione di controllo richiede un login per stabilire una connessione. Ma alcuni server rendono disponibili tutti i loro contenuti senza credenziali. Tali server sono noti come server FTP anonimi. Più tardi un separato connessione dati è stabilito per trasferire file e cartelle.

Analisi del traffico FTP

Il client e il server FTP comunicano senza sapere che TCP gestisce ogni sessione. TCP viene generalmente utilizzato in ogni sessione per controllare la consegna, l'arrivo e la gestione delle dimensioni della finestra del datagramma. Per ogni scambio di datagrammi, TCP avvia una nuova sessione tra il client FTP e il server FTP. Quindi, inizieremo la nostra analisi con le informazioni sui pacchetti TCP disponibili per l'inizio e la fine della sessione FTP nel riquadro centrale.

Avvia l'acquisizione dei pacchetti dall'interfaccia selezionata e usa il ftp comando nel terminale per accedere al sito ftp.mcafee.come.

ubuntu$ubuntu:~$ ftp ftp.mcafee.come

Accedi con le tue credenziali, come mostrato nello screenshot qui sotto.

Uso Ctrl+C per interrompere l'acquisizione e cercare l'inizio della sessione FTP, seguito dal tcp [SINC], [SYN-ACK], e [ACK] pacchetti che illustrano una stretta di mano a tre vie per una sessione affidabile. Applica il filtro tcp per vedere i primi tre pacchetti nel pannello Elenco pacchetti.

Wireshark visualizza informazioni TCP dettagliate che corrispondono al segmento del pacchetto TCP. Evidenziamo il pacchetto TCP dal computer host al server ftp McAfee per studiare il livello Transfer Control Protocol nel pannello dei dettagli del pacchetto. Puoi notare che il primo datagramma TCP per l'inizio della sessione ftp imposta solo SIN un po' 1.

La spiegazione per ogni campo nel livello Transport Control Protocol in Wireshark è fornita di seguito:

• Porta di origine: 43854, è l'host TCP che ha avviato una connessione. È un numero che si trova ovunque sopra 1023.
• Porto di destinazione: 21, è un numero di porta associato al servizio ftp. Ciò significa che il server FTP è in ascolto sulla porta 21 per le richieste di connessione del client.
• Sequenza di numeri: È un campo a 32 bit che contiene un numero per il primo byte inviato in un particolare segmento. Questo numero aiuta nell'identificazione dei messaggi ricevuti in ordine.
• Numero di riconoscimento: Un campo a 32 bit specifica che un ricevitore di conferma si aspetta di ricevere dopo la trasmissione con successo dei byte precedenti.
• Flag di controllo: ogni forma di bit di codice ha un significato speciale nella gestione della sessione TCP che contribuisce al trattamento di ciascun segmento di pacchetto.

RISCONTRO: convalida il numero di conferma di un segmento di ricevuta.

SIN: sincronizzare il numero di sequenza, che viene impostato all'inizio di una nuova sessione TCP

FIN: richiesta di chiusura della sessione session

URG: richieste del mittente di invio dati urgenti

RST: richiesta di ripristino della sessione

PSH: richiesta di spinta

• Dimensione della finestra: è il valore della finestra scorrevole che indica la dimensione dei byte TCP inviati.
• Somma di controllo: campo che contiene il checksum per il controllo degli errori. Questo campo è obbligatorio in TCP a differenza di UDP.

Passando al secondo datagramma TCP catturato nel filtro Wireshark. Il server McAfee riconosce il SIN richiesta. Puoi notare i valori di SIN e ACK bit impostati su 1.

Nell'ultimo pacchetto, puoi notare che l'host invia un riconoscimento al server per l'inizio della sessione FTP. Puoi notare che Sequenza di numeri e il ACK i bit sono impostati su 1.

Dopo aver stabilito una sessione TCP, il client FTP e il server si scambiano del traffico, il client FTP riconosce il server FTP Risposta 220 pacchetto inviato tramite sessione TCP tramite una sessione TCP. Quindi, tutto lo scambio di informazioni viene effettuato tramite una sessione TCP su client FTP e server FTP.

Dopo il completamento della sessione FTP, il client ftp invia il messaggio di terminazione al server. Dopo il riconoscimento della richiesta, la sessione TCP sul server invia un annuncio di terminazione alla sessione TCP del client. In risposta, la sessione TCP sul client riconosce il datagramma di terminazione e invia la propria sessione di terminazione. Dopo aver ricevuto la sessione di terminazione, il server FTP invia un riconoscimento della terminazione e la sessione viene chiusa.

avvertimento

FTP non utilizza la crittografia e le credenziali di accesso e password sono visibili in pieno giorno. Quindi, finché nessuno sta origliando e stai trasferendo file sensibili all'interno della tua rete, è sicuro. Ma non utilizzare questo protocollo per accedere ai contenuti da Internet. Uso SFTP che utilizza la shell sicura SSH per il trasferimento di file.

Acquisizione password FTP

Mostreremo ora perché è importante non utilizzare FTP su Internet. Cercheremo le frasi specifiche nel traffico catturato che contengono utente, nome utente, password, eccetera., come indicato di seguito.

Vai a Modifica-> "Trova pacchetto" e scegli Stringa per Visualizza filtro, e poi seleziona Byte del pacchetto per mostrare i dati cercati in chiaro.

Digita la stringa passaggio nel filtro e fare clic su Trova. Troverai il pacchetto con la stringa "Si prega di specificare la password” nel Byte del pacchetto pannello. Puoi anche notare il pacchetto evidenziato nel Elenco dei pacchetti pannello.

Apri questo pacchetto in una finestra Wireshark separata facendo clic con il pulsante destro del mouse sul pacchetto e seleziona Segui->Stream TCP.

Ora cerca di nuovo e troverai la password in chiaro nel pannello Packet byte. Apri il pacchetto evidenziato in una finestra separata come sopra. Troverai le credenziali dell'utente in chiaro.

Conclusione

Questo articolo ha appreso come funziona FTP, ha analizzato come TCP controlla e gestisce le operazioni in una sessione FTP e ha capito perché è importante utilizzare protocolli di shell sicuri per il trasferimento di file su Internet. Nei prossimi articoli tratteremo alcune delle interfacce della riga di comando per Wireshark.