Wireshark数据抓包分析之FTP协议
實驗步驟一??配置FTP服務器,并在測試者機器上登錄FTP服務器
在局域網環境中,我們使用一個小工具來(Quick Easy FTP Server)實現FTP服務器。
配置Quick Easy FTP Server?軟件
雙擊桌面的Quick Easy FTP Server,如下圖
如上圖,可以創建匿名的,但是匿名就沒有密碼,這里我們創建一個,下一步
輸入密碼,這里隨意,記住即可,后面客戶端登錄會用到。下一步
選擇一個FTP服務器的目錄,我們選擇C盤下的FTP目錄(文件夾下面放入一些數據)。這里目錄必須存在。下一步
????????
權限我們選擇“允許下載”和“允許上傳”即可。這兩個是比較常見的,其他的配置默認。點擊下一步
?????? ?
這樣我們就配置好QuickEasy FTP Server,下面,我們選擇點擊開啟按鈕(左上角的綠色按鈕,即左上角綠色問號最左邊的按鈕),開啟之后,狀態變化,如下;
這樣我們就配置完Quick Easy FTP Server。
這里介紹一種容易出錯的地方,就是開啟時提示失敗,可能是默認端口21被占用了,這里給出兩種辦法:
1?改變默認端口,21改為數字較大的端口;
2?使用netstat –ano| findstr “21”,查看那個進程在占用21端口,然后在任務管理器中關閉占用端口的程序即可。這里推薦方法1。
?
獲取FTP的控制鏈接數據和數據鏈接數據
下面我們在測試者機器上,打開Wireshark抓包工具,過濾條件輸入ip.addr == 10.1.1.33,這里可以通過cmd的命令行去登錄FTP服務器,也可以通過瀏覽器登錄,我們這里,為了熟悉FTP的常用命令,使用cmd的命令行登錄,如下
上面的信息就是登錄FTP服務器后,進行了一個上傳和下載文件的操作,此處我們返回Wireshark界面停止抓包,保存,截圖如下:
接下來,我們就詳細的對上面的步驟,進行分析。
?
?
實驗步驟二 分析FTP協議數據包
在FTP工作流程中使用控制鏈接和數據連接兩種方式來實現數據傳輸,下面我們來分析這兩種包的詳細信息。
?
分析控制鏈接的數據
FTP的控制連接用于傳送用戶名、密碼及設置傳輸方式等控制信息,下面以保存的ftp.pcapng捕獲文件為例,分析FTP協議控制連接數據包。
上圖中顯示了所有數據包的Info列,在這里可以看到ftp傳輸的所有信息,因為FTP是明文形式傳輸數據包的,所有我們在InFo列里能看到登錄FTP服務器的用戶名、密碼和傳輸文件等。在上圖中,登錄FTP服務器的用戶名為Hetian,密碼為123456,下載了文件cat.jpg及上傳了文件Tulip.jpg。這里顯示的都是成功,如果傳輸過程中出差的話,會返回相應的應答碼。
在捕獲的FTP數據包中,USER,PASS,CWD,RETR和STOR等都是控制連接使用的控制命令。這些控制命令在包詳細信息中,顯示的格式都相同。這里以控制用戶信息的命令為例,分析包的詳細信息。在ftp.pcapng捕獲文件中,捕獲的用戶信息如下:
從該界面可以看到登錄FTP服務器時,使用的控制命令是USER和PASS。根據這兩個命令,可以看到登錄的賬號為Hetian,密碼為123456.這兩個包的詳細信息如下
用戶名包詳細信息
File Transfer Protocol (FTP)
?????? USERHetian\r\n
????????????? Requestcommand: USER
????????????? Requestarg: Hetian
從上面的信息中,可以看到該包使用了FTP協議,輸入的用戶名為Hetian,請求的命令是USER,請求參數為Hetian。
密碼的詳細信息
FileTransfer Protocol (FTP)
?????? PASS123456\r\n
?????? Requestcommand: PASS
?????? Requestarg: 123456
從上面的信息中,可以看到輸入的密碼為123456,請求的命令是PASS,請求參數為123456。
其余的CMD等命令,學習者自己查看下。
?
分析數據連接的數據
數據連接用于傳送文件數據,也就是通過FTP服務器進行上傳和下載文件。下面以捕獲的文件為例,分析數據連接的數據。
上面的圖中,控制命令RETR和PORT的數據分別為上傳和下載的數據包。這里我們以下載文件為例(上傳相同原理),點擊上面的第811幀數據,右鍵,
選擇Follow TCPStream選擇,
上面顯示了所有FTP的傳輸信息,如果想要查看傳輸的數據,就要將這些信息去掉。關閉上面的窗口,在Wireshark中,你會發現過濾條件被修改為如下
最簡單的方法就是,在前面加一個!,就能達到去掉的效果。如下圖:
接下來就是要找到我們下載的文件。如何能快速的找到下載的文件呢,這里給出兩種方法,大家自行選擇:
通過協議的字段去分析:你會發現,去掉了FTP的控制連接數據,顯示的是TCP協議的數據,在TCP協議中,PUSH字段表示推送數據,我們就可以在Info中找到PUSH字段,間接找到想要的文件。
我們知道下載的文件是JPG格式,所以也就知道二進制的表示為JFIF(exe格式用二進制分析器打開是MZ的道理是一樣的),所以就可以通過Wireshark自帶的搜索,快速找到文件所在的幀數。搜索的快捷鍵是Ctrl+F.如下圖
這樣也能找到相應的幀信息。我們在找到幀信息之后(814幀或者820均可),通過右鍵,Follow TCPStream,可以看到數據的信息,其中的JFIF表示了文件格式為jpg,如下:
我們點擊上圖的Save as,輸入名字cat.jpg即可。
打開保存的文件,即我們下載的圖片
這個時候關閉Follow TCP Stream彈出的窗口,Wireshark顯示的信息如下:
上面的數據包顯示了傳輸cat.jpg文件的所有非FTP控制數據包,在該過程中,明細可以看到,經理了TCP的三次握手和四次斷開連接。請學習者根據上面的方法,去尋找找到上傳的文件信息。
總結
以上是生活随笔為你收集整理的Wireshark数据抓包分析之FTP协议的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python--Websocket实现,
- 下一篇: easy-ui的datagrid