Utilisation de Wireshark pour examiner le trafic FTP

L'article précédent vous a fourni une compréhension approfondie des filtres Wireshark, des couches OSI, de l'ICMP et de l'analyse des paquets HTTP. Dans cet article, nous allons apprendre comment fonctionne FTP et examiner les captures FTP Wireshark. Avant d'approfondir l'analyse des paquets capturés, nous commencerons par une brève compréhension du protocole.

FTP

FTP est un protocole utilisé par les ordinateurs pour partager des informations sur le réseau. En termes simples, c'est un moyen de partager des fichiers entre des ordinateurs connectés. Comme HTTP est conçu pour les sites Web, FTP est optimisé pour les transferts de fichiers volumineux entre ordinateurs.

Le client FTP crée d'abord un connexion de contrôle demande au serveur port 21. Une connexion de contrôle nécessite un login pour établir une connexion. Mais certains serveurs rendent tout leur contenu disponible sans aucune information d'identification. Ces serveurs sont appelés serveurs FTP anonymes. Plus tard un séparé Connexion de données est établi pour transférer des fichiers et des dossiers.

Analyse du trafic FTP

Le client et le serveur FTP communiquent sans savoir que TCP gère chaque session. TCP est généralement utilisé dans chaque session pour contrôler la livraison des datagrammes, l'arrivée et la gestion de la taille des fenêtres. Pour chaque échange de datagramme, TCP initie une nouvelle session entre le client FTP et le serveur FTP. Par conséquent, nous commencerons notre analyse avec les informations de paquet TCP disponibles pour l'ouverture et la fin de la session FTP dans le volet du milieu.

Démarrez la capture de paquets à partir de votre interface sélectionnée et utilisez le ftp commande dans le terminal pour accéder au site ftp.mcafee.com.

ubuntu$ubuntu:~$ ftp ftp.mcafee.com

Connectez-vous avec vos identifiants, comme indiqué dans la capture d'écran ci-dessous.

Utiliser Ctrl+C pour arrêter la capture et rechercher le lancement de la session FTP, suivi du tcp [SYN], [SYN-ACK], et [ACK] paquets illustrant une poignée de main à trois pour une session fiable. Appliquez le filtre tcp pour voir les trois premiers paquets dans le panneau Liste des paquets.

Wireshark affiche des informations TCP détaillées qui correspondent au segment de paquet TCP. Nous mettons en évidence le paquet TCP de l'ordinateur hôte vers le serveur ftp McAfee pour étudier la couche Transfer Control Protocol dans le panneau de détail du paquet. Vous pouvez remarquer que le premier datagramme TCP pour l'ouverture de session ftp ne définit que SYN peu à 1.

L'explication de chaque champ de la couche Transport Control Protocol dans Wireshark est donnée ci-dessous :

• Port source : 43854, c'est l'hôte TCP qui a initié une connexion. C'est un nombre qui se situe n'importe où au-dessus de 1023.
• Le port de destination: 21, c'est un numéro de port associé au service ftp. Cela signifie que le serveur FTP écoute sur le port 21 les demandes de connexion client.
• Numéro de séquence: C'est un champ de 32 bits qui contient un numéro pour le premier octet envoyé dans un segment particulier. Ce numéro permet d'identifier les messages reçus afin de.
• Numéro d'accusé de réception : Un champ de 32 bits spécifie qu'un récepteur d'accusé de réception s'attend à recevoir après la transmission réussie des octets précédents.
• Indicateurs de contrôle : chaque forme de bit de code a une signification particulière dans la gestion de session TCP qui contribue au traitement de chaque segment de paquet.

ACK : valide le numéro d'accusé de réception d'un segment de reçu.

SYN : synchroniser le numéro de séquence, qui est défini au lancement d'une nouvelle session TCP

AILETTE: demande de clôture de session

URG : demandes de l'expéditeur d'envoyer des données urgentes

RST : demande de réinitialisation de la session

PSH : demande de poussée

• La taille de la fenêtre: c'est la valeur de la fenêtre glissante qui indique la taille des octets TCP envoyés.
• Somme de contrôle : champ qui contient la somme de contrôle pour le contrôle des erreurs. Ce champ est obligatoire en TCP contrairement à UDP.

Déplacement vers le deuxième datagramme TCP capturé dans le filtre Wireshark. Le serveur McAfee reconnaît le SYN demander. Vous pouvez remarquer les valeurs de SYN et ACK bits mis à 1.

Dans le dernier paquet, vous pouvez remarquer que l'hôte envoie un accusé de réception au serveur pour l'initiation de la session FTP. Vous pouvez remarquer que le Numéro de séquence et le ACK les bits sont mis à 1.

Après avoir établi une session TCP, le client FTP et le serveur échangent du trafic, le client FTP reconnaît le serveur FTP Réponse 220 paquet envoyé via une session TCP via une session TCP. Par conséquent, tous les échanges d'informations sont effectués via une session TCP sur le client FTP et le serveur FTP.

Une fois la session FTP terminée, le client ftp envoie le message de fin au serveur. Après l'accusé de réception de la demande, la session TCP sur le serveur envoie une annonce de fin à la session TCP du client. En réponse, la session TCP chez le client accuse réception du datagramme de terminaison et envoie sa propre session de terminaison. Après réception de la session de terminaison, le serveur FTP envoie un accusé de réception de la terminaison, et la session est fermée.

Avertissement

FTP n'utilise pas de cryptage et les identifiants de connexion et de mot de passe sont visibles en plein jour. Par conséquent, tant que personne n'écoute clandestinement et que vous transférez des fichiers sensibles au sein de votre réseau, c'est sûr. Mais n'utilisez pas ce protocole pour accéder au contenu depuis Internet. Utiliser SFTP qui utilise le shell sécurisé SSH pour le transfert de fichiers.

Capture de mot de passe FTP

Nous allons maintenant montrer pourquoi il est important de ne pas utiliser FTP sur internet. Nous rechercherons les phrases spécifiques dans le trafic capturé contenant utilisateur, nom d'utilisateur, mot de passe, etc., comme indiqué ci-dessous.

Aller à Édition-> « Rechercher un paquet » et choisissez Chaîne pour le Filtre d'affichage, puis sélectionnez Octets de paquets pour afficher les données recherchées en clair.

Tapez la chaîne passe dans le filtre et cliquez sur Trouve. Vous trouverez le paquet avec la chaîne "Veuillez spécifier le mot de passe" dans le Octets de paquets panneau. Vous pouvez également remarquer le paquet en surbrillance dans le Liste de paquets panneau.

Ouvrez ce paquet dans une fenêtre Wireshark séparée en cliquant avec le bouton droit sur le paquet et sélectionnez Suivre-> flux TCP.

Maintenant, recherchez à nouveau et vous trouverez le mot de passe en texte brut dans le panneau Packet byte. Ouvrez le paquet en surbrillance dans une fenêtre séparée comme ci-dessus. Vous trouverez les informations d'identification de l'utilisateur en clair.

Conclusion

Cet article a appris comment fonctionne FTP, analysé comment TCP contrôle et gère les opérations dans une session FTP et a compris pourquoi il est important d'utiliser des protocoles shell sécurisés pour le transfert de fichiers sur Internet. Dans les prochains articles, nous couvrirons certaines des interfaces de ligne de commande pour Wireshark.