Uso de Wireshark para examinar el tráfico FTP

El artículo anterior le ha proporcionado una comprensión profunda de los filtros Wireshark, las capas OSI, ICMP y el análisis de paquetes HTTP. En este artículo, aprenderemos cómo funciona FTP y examinaremos las capturas de FTP Wireshark. Antes de profundizar en el análisis de paquetes capturados, comenzaremos con una breve comprensión del protocolo.

FTP

FTP es un protocolo utilizado por las computadoras para compartir información a través de la red. En pocas palabras, es una forma de compartir archivos entre computadoras conectadas. Como HTTP está diseñado para sitios web, FTP está optimizado para transferencias de archivos grandes entre computadoras.

El cliente FTP primero crea un conexión de control solicitud al puerto del servidor 21. Una conexión de control requiere un inicio de sesión para establecer una conexión. Pero algunos servidores hacen que todo su contenido esté disponible sin ninguna credencial. Estos servidores se conocen como servidores FTP anónimos. Más tarde, un separado Conección de datos se establece para transferir archivos y carpetas.

Análisis de tráfico FTP

El cliente y el servidor FTP se comunican sin saber que TCP administra cada sesión. TCP se utiliza generalmente en todas las sesiones para controlar la entrega, la llegada y la gestión del tamaño de la ventana de los datagramas. Para cada intercambio de datagramas, TCP inicia una nueva sesión entre el cliente FTP y el servidor FTP. Por lo tanto, comenzaremos nuestro análisis con la información del paquete TCP disponible para el inicio y finalización de la sesión FTP en el panel central.

Inicie la captura de paquetes desde su interfaz seleccionada y use el ftp comando en la terminal para acceder al sitio ftp.mcafee.com.

ubuntu $ ubuntu: ~ $ ftp ftp.mcafee.com

Inicie sesión con sus credenciales, como se muestra en la captura de pantalla a continuación.

Usar Ctrl + C para detener la captura y buscar el inicio de la sesión FTP, seguido del tcp [SYN], [SYN-ACK], y [ACK] paquetes que ilustran un protocolo de enlace de tres vías para una sesión confiable. Aplique el filtro tcp para ver los primeros tres paquetes en el panel Lista de paquetes.

Wireshark muestra información detallada de TCP que coincide con el segmento del paquete TCP. Destacamos el paquete TCP desde la computadora host al servidor ftp McAfee para estudiar la capa del Protocolo de control de transferencia en el panel de detalles del paquete. Puede observar que el primer datagrama TCP para el inicio de la sesión ftp solo establece SYN poco a 1.

La explicación de cada campo en la capa del Protocolo de control de transporte en Wireshark se proporciona a continuación:

• Puerto de origen: 43854, es el host TCP que inició una conexión. Es un número que se encuentra en cualquier lugar por encima de 1023.
• Puerto de destino: 21, es un número de puerto asociado con el servicio ftp. Eso significa que el servidor FTP escucha en el puerto 21 las solicitudes de conexión del cliente.
• Secuencia de números: Es un campo de 32 bits que contiene un número para el primer byte enviado en un segmento en particular. Este número ayuda en la identificación de los mensajes recibidos en orden.
• Número de acuse de recibo: Un campo de 32 bits especifica que un receptor de acuse de recibo espera recibir después de la transmisión exitosa de bytes anteriores.
• Banderas de control: cada forma de bit de código tiene un significado especial en la gestión de sesiones TCP que contribuye al tratamiento de cada segmento de paquete.

ACK: valida el número de acuse de recibo de un segmento de recibo.

SYN: sincronizar el número de secuencia, que se establece al inicio de una nueva sesión de TCP

ALETA: solicitud de terminación de sesión

URG: solicitudes del remitente para enviar datos urgentes

RST: solicitud de restablecimiento de la sesión

PSH: solicitud de empuje

• Tamaño de ventana: es el valor de la ventana deslizante que indica el tamaño de los bytes TCP enviados.
• Suma de comprobación: campo que contiene la suma de comprobación para el control de errores. Este campo es obligatorio en TCP a diferencia de UDP.

Avanzando hacia el segundo datagrama TCP capturado en el filtro Wireshark. El servidor de McAfee reconoce la SYN pedido. Puedes notar los valores de SYN y ACK bits establecidos en 1.

En el último paquete, puede notar que el host envía un acuse de recibo al servidor para el inicio de la sesión FTP. Puedes notar que el Secuencia de números y el ACK los bits se establecen en 1.

Después de establecer una sesión TCP, el cliente y el servidor FTP intercambian algo de tráfico, el cliente FTP reconoce el servidor FTP Respuesta 220 paquete enviado a través de una sesión TCP a través de una sesión TCP. Por lo tanto, todo el intercambio de información se realiza a través de una sesión TCP en el cliente FTP y el servidor FTP.

Una vez finalizada la sesión FTP, el cliente ftp envía el mensaje de terminación al servidor. Después de la confirmación de la solicitud, la sesión TCP en el servidor envía un anuncio de terminación a la sesión TCP del cliente. En respuesta, la sesión TCP en el cliente reconoce el datagrama de terminación y envía su propia sesión de terminación. Después de recibir la sesión de terminación, el servidor FTP envía un acuse de recibo de la terminación y la sesión se cierra.

Advertencia

FTP no utiliza cifrado y las credenciales de inicio de sesión y contraseña son visibles a plena luz del día. Por lo tanto, siempre que nadie esté escuchando a escondidas y usted esté transfiriendo archivos confidenciales dentro de su red, es seguro. Pero no utilice este protocolo para acceder a contenido de Internet. Usar SFTP que usa shell seguro SSH para la transferencia de archivos.

Captura de contraseña FTP

Ahora mostraremos por qué es importante no utilizar FTP a través de Internet. Buscaremos las frases específicas en el tráfico capturado que contiene usuario, nombre de usuario, contraseña, etc., como se indica a continuación.

Ir Editar-> "Buscar paquete" y elija String para el Filtro de visualización, y luego seleccione Bytes del paquete para mostrar los datos buscados en texto sin cifrar.

Escribe la cadena aprobar en el filtro y haga clic en Encontrar. Encontrarás el paquete con la cadena "Por favor, especifique la contraseña " en el Bytes del paquete panel. También puede notar el paquete resaltado en el Lista de paquetes panel.

Abra este paquete en una ventana separada de Wireshark haciendo clic derecho en el paquete y seleccione Seguir-> flujo TCP.

Ahora busque de nuevo y encontrará la contraseña en texto plano en el panel de bytes del paquete. Abra el paquete resaltado en una ventana separada como arriba. Encontrarás las credenciales de usuario en texto plano.

Conclusión

Este artículo aprendió cómo funciona FTP, analizó cómo TCP controla y administra las operaciones en una sesión FTP y comprendió por qué es importante utilizar protocolos de shell seguros para la transferencia de archivos a través de Internet. Próximamente en artículos futuros, cubriremos algunas de las interfaces de línea de comandos para Wireshark.