Phenquestions
FTP
FTP adalah protokol yang digunakan oleh komputer untuk berbagi informasi melalui jaringan. Sederhananya, ini adalah cara untuk berbagi file antar komputer yang terhubung. Karena HTTP dibuat untuk Situs Web, FTP dioptimalkan untuk transfer file besar antar komputer.
Klien FTP pertama kali membangun koneksi kontrol permintaan ke port server 21. Koneksi kontrol memerlukan login untuk membuat koneksi. Tetapi beberapa server membuat semua kontennya tersedia tanpa kredensial apa pun. Server semacam itu dikenal sebagai server FTP anonim. Nanti terpisah koneksi data didirikan untuk mentransfer file dan folder.
Analisis Lalu Lintas FTP
Klien FTP dan server berkomunikasi tanpa menyadari bahwa TCP mengelola setiap sesi. TCP umumnya digunakan di setiap sesi untuk mengontrol pengiriman datagram, kedatangan, dan manajemen ukuran jendela. Untuk setiap pertukaran datagram, TCP memulai sesi baru antara klien FTP dan server FTP. Oleh karena itu, kami akan memulai analisis kami dengan informasi paket TCP yang tersedia untuk inisiasi dan penghentian sesi FTP di panel tengah.
Mulai pengambilan paket dari antarmuka yang Anda pilih dan gunakan ftp perintah di terminal untuk mengakses situs ftp.mcafee.com.
ubuntu$ubuntu:~$ ftp ftp.mcafee.com
Masuk dengan kredensial Anda, seperti yang ditunjukkan pada tangkapan layar di bawah ini.
Menggunakan Ctrl+C untuk menghentikan pengambilan dan mencari inisiasi sesi FTP, diikuti oleh tcp [SYN], [SYN-ACK], dan [ACK] paket yang menggambarkan jabat tangan tiga arah untuk sesi yang andal. Terapkan filter tcp untuk melihat tiga paket pertama di panel Daftar paket.
Wireshark menampilkan informasi TCP terperinci yang cocok dengan segmen paket TCP. Kami menyorot paket TCP dari komputer host ke server ftp McAfee untuk mempelajari lapisan Protokol Kontrol Transfer di panel detail Paket. Anda dapat melihat bahwa datagram TCP pertama untuk inisiasi sesi ftp hanya set SYN sedikit untuk 1.
Penjelasan untuk masing-masing bidang pada lapisan Transport Control Protocol di Wireshark diberikan di bawah ini:
- Pelabuhan Sumber: 43854, host TCP yang memulai koneksi. Ini adalah angka yang terletak di mana saja di atas 1023.
- Pelabuhan Tujuan: 21, ini adalah nomor port yang terkait dengan layanan ftp. Itu berarti, server FTP mendengarkan pada port 21 untuk permintaan koneksi klien.
- Nomor urut: Ini adalah bidang 32-bit yang menyimpan nomor untuk byte pertama yang dikirim dalam segmen tertentu. Nomor ini membantu dalam mengidentifikasi pesan yang diterima secara berurutan.
- Nomor Pengakuan: Bidang 32-bit menentukan penerima pengakuan yang diharapkan untuk diterima setelah transmisi sukses dari byte sebelumnya.
- Bendera Kontrol: setiap bentuk bit kode memiliki arti khusus dalam manajemen sesi TCP yang berkontribusi pada perawatan setiap segmen paket.
AK: memvalidasi nomor pengakuan dari segmen tanda terima.
SYN: sinkronisasi nomor urut, yang diatur pada inisiasi sesi TCP baru
SIRIP: permintaan penghentian sesi
URG: permintaan oleh pengirim untuk mengirim data mendesak
RS: permintaan untuk mengatur ulang sesi
PSH: permintaan untuk mendorong
- Ukuran jendela: itu adalah nilai jendela geser yang memberi tahu ukuran byte TCP yang dikirim.
- Ceksum: bidang yang menyimpan checksum untuk kontrol kesalahan. Bidang ini wajib di TCP berbeda dengan UDP.
Bergerak menuju datagram TCP kedua yang ditangkap dalam filter Wireshark. Server McAfee mengakui SYN permintaan. Anda dapat melihat nilai dari SYN dan ACK bit diatur ke 1.
Dalam paket terakhir, Anda dapat melihat bahwa tuan rumah mengirimkan pengakuan ke server untuk inisiasi sesi FTP. Anda dapat memperhatikan bahwa Nomor urut dan ACK bit diatur ke 1.
Setelah membuat sesi TCP, klien FTP dan server bertukar beberapa lalu lintas, klien FTP mengakui server FTP Tanggapan 220 paket dikirim melalui sesi TCP melalui sesi TCP. Oleh karena itu, semua pertukaran informasi dilakukan melalui sesi TCP di klien FTP dan server FTP.
Setelah sesi FTP selesai, klien ftp mengirimkan pesan penghentian ke server. Setelah pengakuan permintaan, sesi TCP di server mengirimkan pengumuman penghentian ke sesi TCP klien. Sebagai tanggapan, sesi TCP di klien mengakui datagram penghentian dan mengirimkan sesi penghentiannya sendiri. Setelah menerima sesi penghentian, server FTP mengirimkan pemberitahuan penghentian, dan sesi ditutup.
Peringatan
FTP tidak menggunakan enkripsi, dan kredensial login dan kata sandi terlihat di siang bolong. Oleh karena itu, selama tidak ada yang menguping dan Anda mentransfer file sensitif dalam jaringan Anda, itu aman. Tapi jangan gunakan protokol ini untuk mengakses konten dari internet. Menggunakan SFTP yang menggunakan SSH shell aman untuk transfer file.
Pengambilan Kata Sandi FTP
Kami sekarang akan menunjukkan mengapa penting untuk tidak menggunakan FTP melalui internet. Kami akan mencari frasa spesifik dalam lalu lintas yang ditangkap yang mengandung pengguna, nama pengguna, kata sandi, dll., seperti yang diinstruksikan di bawah ini.
Pergi ke Sunting-> "Temukan Paket" dan pilih String untuk Filter Tampilan, lalu pilih Byte paket untuk menampilkan data yang dicari dalam teks yang jelas.
Ketik string lulus di filter, dan klik Temukan. Anda akan menemukan paket dengan string “Silakan tentukan kata sandinya” dalam Byte paket panel. Anda juga dapat melihat paket yang disorot di Daftar paket panel.
Buka paket ini di jendela Wireshark terpisah dengan mengklik kanan pada paket dan pilih Ikuti-> aliran TCP.
Sekarang cari lagi, dan Anda akan menemukan kata sandi dalam teks biasa di panel byte Paket. Buka paket yang disorot di jendela terpisah seperti di atas. Anda akan menemukan kredensial pengguna dalam plaintext.
Kesimpulan
Artikel ini telah mempelajari cara kerja FTP, menganalisis cara TCP mengontrol dan mengelola operasi dalam sesi FTP, dan memahami mengapa penting untuk menggunakan protokol shell aman untuk transfer file melalui internet. Datang di artikel mendatang, kami akan membahas beberapa antarmuka baris perintah untuk Wireshark.
