Shikata Ga Nai

Private? There is no such things.

WiresharkでFTPパケットを分析してみた

Hello there, ('ω')ノ

 

FTPは、ポート21または20(デフォルト)を介してTCPを使用して。

チャネルコマンドチャネル(ポート21)とデータチャネル(ポート20)のみで。

コマンドチャネルは、コマンドとその応答の送受信に使用されて。

データチャネルは、クライアントとサーバ間でデータを送受信するために使用され。

 まずは、FTP通信を確認するために下記にアクセスして。 

 ftp://ftp.adobe.com/

 

f:id:ThisIsOne:20200701095755p:plain

 

通常、クライアントから送信されるすべての要求は特定のコマンドセットで。

サーバは、数値セットとそれに続くテキストメッセージで応答して。

今回はFTPサーバが、IP 192.147.130.111で。

クライアントは、IP 192.168.1.8で。

 

下記でフィルタリングして、簡単に分析をすると。

 ftp or ftp-data

 

サーバは、パスワードを要求して。

サーバがパスワードを受信して​​検証すると、ユーザーはログインして。

パスワードは正しいので、クライアントは応答コードとして230を受け取って。

その後、Login Successfulメッセージと続いて。

 

f:id:ThisIsOne:20200701140912p:plain

 

フレーム109は、クライアントがサーバで処理されたLISTコマンドを発行して。

9バイト(Len: 9)のデータが返されたことを示していて。

FTP通信は、プロトコルアナライザを介してプレーンテキストで見ることができて。

これは、悪用される弱点でもあり。

 

f:id:ThisIsOne:20200701135242p:plain

 

FTPパケットのTCPストリームを再構成するには、

選択したパケットを右クリックし、追跡⇨TCPストリームを選択して表示。

 

データおよびコマンドチャネルを介してのクライアントとサーバ間の通信全体が。

人間が読める形式に変換されて。

赤のテキストはクライアントが送信したもので。

青のテキストはクライアントが受信したもので。 

 

f:id:ThisIsOne:20200701140021p:plain

 

他のパケットについてもこんな感じで。

 

f:id:ThisIsOne:20200701142750p:plain

 

これは、ファイルを送受信(put/get)した結果で。

 

f:id:ThisIsOne:20200701142833p:plain

 

Best regards, (^^ゞ