Uso de Wireshark para examinar el tráfico FTP

Carolina Guzmán
Uso de Wireshark para examinar el tráfico FTP
El artículo anterior le ha proporcionado una comprensión profunda de los filtros de Wireshark, las capas OSI, el análisis de paquetes ICMP y HTTP. En este artículo, aprenderemos cómo funciona FTP y examinaremos las capturas de Wireshark FTP. Antes de profundizar en el análisis de paquetes capturados, comenzaremos con una breve comprensión del protocolo.

Ftp

FTP es un protocolo utilizado por las computadoras para compartir información a través de la red. En pocas palabras, es una forma de compartir archivos entre computadoras conectadas. Como HTTP está creado para sitios web, FTP está optimizado para grandes transferencias de archivos entre computadoras.

El cliente FTP primero construye un conexión de control Solicitar al puerto del servidor 21. Una conexión de control requiere un inicio de sesión para establecer una conexión. Pero algunos servidores hacen que todo su contenido esté disponible sin credenciales. Dichos servidores se conocen como servidores FTP anónimos. Más tarde un separado Conección de datos se establece para transferir archivos y carpetas.

Análisis de tráfico FTP

El cliente y el servidor FTP se comunican al no ser consciente de que TCP administra cada sesión. TCP generalmente se usa en cada sesión para controlar la entrega de datagrama, la llegada y la gestión del tamaño de la ventana. Para cada intercambio de datagrama, TCP inicia una nueva sesión entre el cliente FTP y el servidor FTP. Por lo tanto, comenzaremos nuestro análisis con la información de paquete TCP disponible para el inicio y terminación de la sesión FTP en el panel central.

Inicie la captura de paquetes desde su interfaz seleccionada y use el ftp comandar en la terminal para acceder al sitio ftp.McAfee.comunicarse.

ubuntu $ ubuntu: ~ $ ftp ftp.McAfee.comunicarse

Inicie sesión con sus credenciales, como se muestra en la captura de pantalla a continuación.

Usar Ctrl+C Para detener la captura y buscar el inicio de la sesión FTP, seguido del TCP [Syn], [Syn-Aack], y [ACK] paquetes que ilustran un apretón de manos de tres vías para una sesión confiable. Aplicar el filtro TCP para ver los primeros tres paquetes en el panel de la lista de paquetes.

Wireshark muestra información detallada de TCP que coincide con el segmento de paquetes TCP. Destacamos el paquete TCP de la computadora host al servidor FTP McAfee para estudiar la capa de protocolo de control de transferencia en el panel de detalles del paquete. Puede notar que el primer datagrama TCP para la iniciación de la sesión FTP solo se establece Síntoma morder 1.

La explicación para cada campo en la capa de protocolo de control de transporte en Wireshark se da a continuación:

  • Puerto de origen: 43854, es el host TCP el que inició una conexión. Es un número que se encuentra en cualquier lugar superior a 1023.
  • Puerto de destino: 21, es un número de puerto asociado con el servicio FTP. Eso significa que el servidor FTP escucha en el puerto 21 para las solicitudes de conexión del cliente.
  • Secuencia de números: Es un campo de 32 bits que contiene un número para el primer byte enviado en un segmento en particular. Este número ayuda en la identificación de los mensajes recibidos en orden.
  • Número de reconocimiento: Un campo de 32 bits especifica que un receptor de reconocimiento espera recibir después de la transmisión exitosa de bytes anteriores.
  • Banderas de control: Cada formulario de bits de código tiene un significado especial en la gestión de la sesión de TCP que contribuye al tratamiento de cada segmento de paquetes.

ACK: valida el número de reconocimiento de un segmento de recibo.

Syn: Número de secuencia de sincronización, que se establece en el inicio de una nueva sesión de TCP

ALETA: Solicitud de terminación de la sesión

URG: Solicitudes del remitente para enviar datos urgentes

Primero: Solicitud para restablecer la sesión

PSH: Solicitud de empuje

  • Tamaño de ventana: Es el valor de la ventana deslizante lo que le dice el tamaño de los bytes TCP enviados.
  • Suma de verificación: campo que contiene la suma de verificación para el control de errores. Este campo es obligatorio en TCP en contraste con UDP.

Avanzando hacia el segundo datagrama TCP capturado en el filtro de Wireshark. El servidor McAfee reconoce el Síntoma pedido. Puedes notar los valores de Síntoma y Ack bits establecidos en 1.

En el último paquete, puede notar que el host envía un reconocimiento al servidor para la iniciación de la sesión FTP. Puedes notar que el Secuencia de números y el Ack Los bits están configurados para 1.

Después de establecer una sesión TCP, el cliente y servidor FTP intercambian algo de tráfico, el cliente FTP reconoce el servidor FTP Respuesta 220 Paquete enviado a través de la sesión TCP a través de una sesión TCP. Por lo tanto, todo el intercambio de información se lleva a cabo a través de la sesión TCP en FTP Client y FTP Server.

Después de la finalización de la sesión FTP, el cliente FTP envía el mensaje de terminación al servidor. Después del reconocimiento de solicitud, la sesión TCP en el servidor envía un anuncio de terminación a la sesión TCP del cliente. En respuesta, la sesión TCP en el cliente reconoce el datagrama de terminación y envía su propia sesión de terminación. Después de recibir la sesión de terminación, el servidor FTP envía un reconocimiento de la terminación y la sesión está cerrada.

Advertencia

FTP no usa el cifrado, y las credenciales de inicio de sesión y contraseña son visibles a plena luz del día. Por lo tanto, siempre que nadie esté a escasez y esté transfiriendo archivos confidenciales dentro de su red, es seguro. Pero no use este protocolo para acceder a contenido desde Internet. Usar Sftp que usa Secure Shell SSH para la transferencia de archivos.

Captura de contraseña FTP

Ahora mostraremos por qué es importante no usar FTP a través de Internet. Buscaremos las frases específicas en el tráfico capturado que contiene usuario, nombre de usuario, contraseña, etc., Como se indica a continuación.

Ir a Editar-> "Buscar paquete" y elija una cadena para el Filtro de visualización, y luego seleccione Bytes de paquetes Para mostrar datos buscados en ClearText.

Escriba la cadena aprobar en el filtro y haga clic Encontrar. Encontrará el paquete con la cadena "Especifique la contraseña " en el Bytes de paquetes panel. También puede notar el paquete resaltado en el Lista de paquetes panel.

Abra este paquete en una ventana de Wireshark separada haciendo clic derecho en el paquete y seleccione Seguimiento-> transmisión tcp.

Ahora busque nuevamente y encontrará la contraseña en texto sin formato en el panel de bytes de paquetes. Abra el paquete resaltado en una ventana separada como arriba. Encontrará las credenciales del usuario en Textext.

Conclusión

Este artículo ha aprendido cómo funciona FTP, analizó cómo TCP controla y administra las operaciones en una sesión de FTP y entendió por qué es importante usar protocolos de shell seguros para la transferencia de archivos a través de Internet. En futuros artículos, cubriremos algunas de las interfaces de línea de comandos para Wireshark.

Git
¿Cuáles son los pasos para cambiar el nombre de un archivo en git??
Para cambiar el nombre de un archivo en Git, primero, muévase al directorio raíz y enumere su conten...
Salvador Anaya
Potencia Shell
Cómo usar el comando Get-Command en PowerShell
El cmdlet get-command obtiene una lista de comandos disponibles en la computadora. Además, puede imp...
Homero Ontiveros
Debian
Instale el motor Docker en Debian
Hay dos formas de instalar Docker Engine en Debian One es instalando Snapd y otra es utilizando el c...
Pilar Alemán
Pitón
Filtro Nan Pandas
Lorenzo Canales
Estibador
¿Cómo se definen los volúmenes en Docker Compose Yaml??
Homero Ontiveros
Fuerza de ventas
Cargador de datos de Salesforce
Homero Ontiveros
Comandos de Linux
Cómo instalar y habilitar la autenticación multifactor SSH para sistemas Linux
Homero Ontiveros
golang
¿Qué son los tipos de datos en Golang?
Lorenzo Morales
Java
¿Qué es la conversión de tipo en Java??
Homero Ontiveros
html
Cómo agregar y reproducir videos en una página web usando HTML?
Hernán Delao
Potencia Shell
Cómo usar el comando Get-Service en PowerShell
Pilar Alemán
Programación C
Libros y guías para el lenguaje C
Pilar Melgar
php
Cómo usar la función PHP RAND
Lorenzo Morales