Phenquestions
FTP
FTP é um protocolo usado por computadores para compartilhar informações na rede. Simplificando, é uma maneira de compartilhar arquivos entre computadores conectados. Como o HTTP é construído para sites, o FTP é otimizado para grandes transferências de arquivos entre computadores.
O cliente FTP primeiro constrói um conexão de controle pedido para a porta do servidor 21. Uma conexão de controle requer um login para estabelecer uma conexão. Mas alguns servidores disponibilizam todo o seu conteúdo sem nenhuma credencial. Esses servidores são conhecidos como servidores FTP anônimos. Mais tarde, um separado conexão de dados é estabelecido para transferir arquivos e pastas.
Análise de tráfego FTP
O cliente e o servidor FTP se comunicam sem saber que o TCP gerencia todas as sessões. O TCP é geralmente usado em todas as sessões para controlar a entrega, chegada e gerenciamento do tamanho da janela do datagrama. Para cada troca de datagrama, o TCP inicia uma nova sessão entre o cliente FTP e o servidor FTP. Portanto, começaremos nossa análise com as informações do pacote TCP disponíveis para o início e término da sessão FTP no painel do meio.
Inicie a captura de pacotes de sua interface selecionada e use o ftp comando no terminal para acessar o site ftp.McAfee.com.
ubuntu $ ubuntu: ~ $ ftp ftp.McAfee.com
Faça login com suas credenciais, conforme mostrado na imagem abaixo.
Usar Ctrl + C para parar a captura e procurar o início da sessão FTP, seguido pelo tcp [SYN], [SYN-ACK], e [ACK] pacotes que ilustram um handshake de três vias para uma sessão confiável. Aplique o filtro tcp para ver os três primeiros pacotes no painel da lista de pacotes.
O Wireshark exibe informações detalhadas de TCP que correspondem ao segmento de pacote TCP. Destacamos o pacote TCP do computador host para o servidor ftp McAfee para estudar a camada do protocolo de controle de transferência no painel de detalhes do pacote. Você pode notar que o primeiro datagrama TCP para o início da sessão ftp apenas define SYN mordido para 1.
A explicação para cada campo na camada do protocolo de controle de transporte no Wireshark é fornecida abaixo:
- Porta de origem: 43854, é o host TCP que iniciou uma conexão. É um número que está em qualquer lugar acima de 1023.
- Porto de destino: 21, é um número de porta associado ao serviço ftp. Isso significa que o servidor FTP escuta na porta 21 os pedidos de conexão do cliente.
- Número sequencial: É um campo de 32 bits que contém um número para o primeiro byte enviado em um segmento específico. Este número auxilia na identificação das mensagens recebidas no pedido.
- Número de confirmação: Um campo de 32 bits especifica que um receptor de confirmação espera receber após a transmissão bem-sucedida dos bytes anteriores.
- Sinalizadores de controle: cada forma de bit de código tem um significado especial no gerenciamento de sessão TCP que contribui para o tratamento de cada segmento de pacote.
ACK: valida o número de confirmação de um segmento de recibo.
SYN: sincronizar o número de sequência, que é definido no início de uma nova sessão TCP
FIN: pedido de encerramento de sessão
URG: solicitações do remetente para enviar dados urgentes
RST: pedido para reiniciar a sessão
PSH: pedido de push
- Tamanho da janela: é o valor da janela deslizante que informa o tamanho dos bytes TCP enviados.
- Checksum: campo que contém a soma de verificação para controle de erros. Este campo é obrigatório em TCP em contraste com UDP.
Movendo-se em direção ao segundo datagrama TCP capturado no filtro Wireshark. O servidor McAfee reconhece o SYN solicitação. Você pode notar os valores de SYN e ACK bits definidos para 1.
No último pacote, você pode notar que o host envia uma confirmação ao servidor para o início da sessão FTP. Você pode notar que o Número sequencial e a ACK bits são definidos para 1.
Depois de estabelecer uma sessão TCP, o cliente e o servidor FTP trocam algum tráfego, o cliente FTP reconhece o servidor FTP Resposta 220 pacote enviado via sessão TCP por meio de uma sessão TCP. Assim, toda a troca de informações é realizada via sessão TCP no cliente FTP e no servidor FTP.
Após a conclusão da sessão de FTP, o cliente ftp envia a mensagem de encerramento para o servidor. Após a confirmação do pedido, a sessão TCP no servidor envia um anúncio de encerramento para a sessão TCP do cliente. Em resposta, a sessão TCP no cliente reconhece o datagrama de término e envia sua própria sessão de término. Após o recebimento da sessão de encerramento, o servidor FTP envia uma confirmação de encerramento e a sessão é encerrada.
Aviso
O FTP não usa criptografia, e as credenciais de login e senha são visíveis em plena luz do dia. Portanto, contanto que ninguém esteja espionando e você esteja transferindo arquivos confidenciais dentro de sua rede, é seguro. Mas não use este protocolo para acessar conteúdo da internet. Usar SFTP que usa SSH de shell seguro para transferência de arquivos.
Captura de senha de FTP
Vamos agora mostrar por que é importante não usar FTP na internet. Procuraremos as frases específicas no tráfego capturado contendo usuário, nome de usuário, senha, etc., conforme instruído abaixo.
Vamos para Editar-> “Encontrar Pacote” e escolha String para o Filtro de exibição, e então selecione Bytes de pacote para mostrar os dados pesquisados em texto não criptografado.
Digite a string passar no filtro e clique em Achar. Você encontrará o pacote com a string “Por favor, especifique a senha ” no Bytes de pacote painel. Você também pode notar o pacote destacado no Lista de pacotes painel.
Abra este pacote em uma janela Wireshark separada clicando com o botão direito no pacote e selecione Seguir-> fluxo TCP.
Agora pesquise novamente e você encontrará a senha em texto simples no painel de bytes do pacote. Abra o pacote destacado em uma janela separada como acima. Você encontrará as credenciais do usuário em texto simples.
Conclusão
Este artigo aprendeu como funciona o FTP, analisou como o TCP controla e gerencia operações em uma sessão de FTP e entendeu por que é importante usar protocolos de shell seguros para transferência de arquivos pela Internet. Em artigos futuros, cobriremos algumas das interfaces de linha de comando do Wireshark.
