精华内容
下载资源
问答
  • Wireshark学习FTP流程—数据包.z0 Wireshark学习FTP流程—数据包资源分卷0共计4个分卷
  • 玩转wireshark系列第四篇-抓取ftp包

    万次阅读 多人点赞 2018-07-01 11:21:07
    (首先声明一下我也是一名小白,初学wireshark没多久,我也很愿意和大家一起讨论wireshark的具体应用。)本实验使用的版本是wireshark2.4.7版,选择“捕获”-“选项”。选择当前连的网,一般选择流量“起起伏伏”的...

    (首先声明一下我也是一名小白,初学wireshark没多久,我也很愿意和大家一起讨论wireshark的具体应用。)

    本实验使用的版本是wireshark2.4.7版,选择“捕获”-“选项”。

    选择当前连的网,一般选择流量“起起伏伏”的那个接口。

    做ftp实验的第一个问题就是去哪里找一个ftp服务器,我在百度上找遍了所有的ftp服务器都不能用,没办法,只能自己动手搭一个了。

    1.在win7上先开启ftp服务:这里Internet信息服务底下的三个包括子项全部需要勾选。点击确定后,可能会要等一会儿,完成后就可以使用FTP服务了。

     

     

    2.打开   计算机--》管理--》   在这里我们可以看见刚刚添加的服务    (IIS)


     

    3.创建一个ftp站点

     

    4.点击添加FTP站点后,就是要继续的添加必要的站点信息,这里是:站点名称以及登录ftp后的站点指定目录(文件夹),点击下一步。

     

    5.站点的地址就写自己的IP就好,端口21,是ftp控制信号的默认端口,(端口随意,尽量不要用已经被占用了的端口号)。SSL证书选无,有证书配置起来就很麻烦了。IP尽量配一个,用它推荐的那个吧,我的是192.168.1.4,不能自己随便设一个,这样会无法访问。

     

    6.身份验证和授权勾选“基本“和”匿名“,匿名即采用用户名anonymous。允许所有用户访问。到这步一个ftp服务器就搭好了。

     

    7.测试访问ftp服务器,在“计算机”里输入“ftp://192.168.1.4”由于有勾选匿名,访问的时候无需输入用户名密码,当然也可以在浏览器里面访问。然后可以测试读写。

    8.要让别的机子访问ftp服务器,需要关闭防火墙,或者针对ftp相关端口设置允许通过的规则(默认为20,21)。

     

    之后我在本地访问自己搭的ftp,出乎意料的是wireshark根本没有捕获到FTP数据包,这是为什么呢?查阅资料之后发现wireshark是捕获网卡的数据包,本地访问本地必然没有经过无线网卡。所以我找了一台本局域网上的机子访问该ftp,终于捕获到了ftp报文。

    从上往下分析一个ftp访问的过程。下图是第一个包,表示ftp服务被访问。(220代表服务就绪)

    下图表示用户登录的用户名和密码,使用匿名访问的。

    下图表示匿名访问需要输入email,但是实际上刷新一下就进去了。

    (331代表要求密码)

    用IE代理访问ftp

    用户登录了(230代表登录因特网)


    CWD指令为更改访问目录,比如说点进去一个文件等。

    CWD访问成功。(250代表文件行为完成)

    访问文件的格式是ASCII(200代表成功)


    FTP采用被动模式。

    主动模式(PORT)

    如下图所示,用户主机直接暴露在互联网中,用户连接FTP SERVER使用主动模式遵循以下一个过程:

    用户主机一个随机端口连接FTP SERVER的TCP21端口进行协商;

    用户主机告诉FTP SERVER,我的XXXX端口已经打开,你可以放心大胆的连过来;

    然后FTP SERVER就用TCP20端口连接用户主机的XXXX端口,数据传输开始。

    被动模式(PASV)

    当用户主机前端多了一道防火墙(客户机使用地址转换接入互联网),事情就变的复杂了,首先,主动模式是FTP SERVER连接客户机,防火墙肯定不干;即便乐意干客户机与服务器协商的XXXX端口也是随机端口,你让迷茫的防火墙情何以堪,这时就需要客户端软件使用被动模式主动连接防火墙,这么一来正合防火墙的胃口。

     

    客户端使用被动模式遵循以下过程:

     

    首先用户使用随机端口连接FTP SERVER的TCP 21端口进行协商;

    FTP SERVER告诉客户机:我的XXXX端口开放了,你连过来吧;

    客户机使用一个随机端口连接FTPSERVER的XXXX端口传输数据。

    (227代表进入被动模式)

    列举该目录下的文件

    开始传输文件,比如下载到本地。(125代表打开数据连接,开始传输)

    传输完成。(226代表结束数据连接)

     

    FTP协议概述

    默认端口数据连接用20号端口,控制连接用21号端口。FTP协议的底层协议是TCP协议。此外它还需要安装dns服务。

    展开全文
  • 然后打开wireshark,在过滤条件中输入tcp.port==2100,接着开始监听,如此就能抓取相应ftp数据包。接着我从手机上使用ftp客户端连接到服务器,同时使用设置好的用户名密码登陆,在wireshark上抓结果如下: 注意到...
  • FTP实验wireshark

    千次阅读 2020-06-19 11:53:49
    FTP被动方式工作过程: 2.1 客户端配置 2.2 服务器端配置 2.3抓分析 2.3.1连接建立 客户端和服务器端主动发起连接请求,并用一个随机源端口号2057,和目的端口号21进行TCP三次握手建立控制通道的TCP连接。...

    1、实验环境

    1.1 实验拓扑

    image-20200619114659094

    2、被动模式

    FTP被动方式工作过程

    image-20200619114710745

    2.1 客户端配置

    image-20200619114721387

    image-20200619114730811

    2.2 服务器端配置

    image-20200619114741536

    image-20200619114748505

    2.3抓包分析

    2.3.1连接建立

    image-20200619114757458

    1. 客户端和服务器端主动发起连接请求,并用一个随机源端口号2057,和目的端口号21进行TCP三次握手建立控制通道的TCP连接。

    2. 控制通道建立成功后,需要进行身份认证,由于此处我设置的是匿名允许访问所以就是直接通过。

    3. 控制连接建立(此时我并未上传与下载任何数据),为了测试数据连接正常性,服务器对PASV命令回应,其中包含用于数据传输的临时端口号(8*256+5=2053),源端口号+1

    2.3.2 数据下载

    image-20200619114807356

    建立控制连接

    需要注意的是此时建立控制连接的端口服务器,是使用21,客户端还是使用最开始建立连接使用的2057。

    image-20200619114816841

    建立数据连接

    需要注意的是这里(10,0,2,1,8**,6**)6与之前出现的5不同,就在刚才一次数据连接上+1,所以此时数据连接传输端口就是(256*8+6=2054),*此时客户端的数据连接端口是在刚才的基础2058上+1(新建一次连接就在上一次连接的基础上+1

    image-20200619114851731

    数据传输

    image-20200619114901783

    2.3.3 数据上传

    image-20200619114910459

    整个过程

    image-20200619114918421

    由于上个过程已经建立了TCP三次握手,所以这里就不用再进行TCP三次握手。

    image-20200619114925862

    建立数据连接与数据传输

    image-20200619114933828

    断开连接,关闭传输通道

    image-20200619114940619

    3、主动模式

    FTP主动模式工作过程

    image-20200619114949463

    3.1 客户端配置

    客户端改变模式,改为主动模式

    image-20200619114956934

    3.2 服务器配置

    与2.2一致

    3.3 客户端G0/0/2接口抓包分析

    3.3.1 数据下载

    image-20200619115005405

    1. TCP三次握手建立控制通道的TCP连接

    image-20200619115012912

    1. 客户端用PORT命令通告用于数据传输的临时端口号(8*256+17=2056)

    image-20200619115021114

    1. TCP三次握手建立数据通道的TCP连接

    image-20200619115030424

    1. 双方进行数据传输。传输完毕后发送数据的一方主动关闭数据连接

    image-20200619115041620

    3.3.2 数据上传

    因为刚才已经建立了三次握手,这里继续上传就不用建立TCP三次握手。

    1. 客户端用PORT命令通告用于数据传输的临时端口号(8*256+18=2066)

    image-20200619115051769

    1. TCP三次握手建立数据通道的TCP连接

    image-20200619115059115

    1. 双方进行数据传输。传输完毕后发送数据的一方主动关闭数据连接

    image-20200619115109240

    3.3.3 登出

    image-20200619115117663

    送数据的一方主动关闭数据连接

    [外链图片转存中…(img-XzeaamY4-1592538793723)]

    3.3.3 登出

    [外链图片转存中…(img-jfeiQdxj-1592538793726)]

    展开全文
  • wireshark分析FTP

    千次阅读 2019-11-06 18:29:19
    首先找到网上一个公用的ftp地址进行抓测试,这里采用地址(瑞典Umeå universitet于默奥大学公共FTP服务器):ftp://ftp.acc.umu.se/ 打开wireshark,条件过滤:ip.addr==194.71.11.173 首先28,35,36 tcp...

    简单通过抓把分析下ftp从登陆步骤

    首先找到网上一个公用的ftp地址进行抓包测试,这里采用地址(瑞典Umeå universitet于默奥大学公共FTP服务器):ftp://ftp.acc.umu.se/

    打开wireshark,条件过滤:ip.addr==194.71.11.173

     首先包28,35,36 tcp三次握手建立连接,说明ftp是建立在tcp协议之上的。

    首先客户端主机192.168.1.106 发送SYN包申请建立连接,其中初始序号seq为0(wireshark处理过的相对序列号,实际是个随机值),win=64240 客户端接受窗口大小,MSS=1460 tcp包中最多能携带的字节数量  MSS=MTU-IP首部-TCP首部-选项长度

    WS=256   SACK_PERM=1 说明客户端开启延迟确认。

     

    包55:

     包55通过ftp 命令USER 使用用户名 anonymous尝试登陆,服务器返回包56确认收到,服务器返回包57询问客户端密码,客户发送回包58,把密码发送给服务器。59服务器确认收到密码。60服务器返回登陆成功。

     

     

    展开全文
  • Wireshark数据抓分析之FTP协议

    万次阅读 多人点赞 2018-04-17 20:09:58
    实验步骤一 配置FTP服务器,并在测试者机器上登录FTP服务器在局域网环境中,我们使用一个小工具来(Quick Easy FTP Server)实现FTP服务器。配置Quick Easy FTP Server 软件双击桌面的Quick Easy FTP Server,如下...

    实验步骤一  配置FTP服务器,并在测试者机器上登录FTP服务器

    在局域网环境中,我们使用一个小工具来(Quick Easy FTP Server)实现FTP服务器。

    配置Quick Easy FTP Server 软件

    双击桌面的Quick Easy FTP Server,如下图



    如上图,可以创建匿名的,但是匿名就没有密码,这里我们创建一个,下一步



    输入密码,这里随意,记住即可,后面客户端登录会用到。下一步



    选择一个FTP服务器的目录,我们选择C盘下的FTP目录(文件夹下面放入一些数据)。这里目录必须存在。下一步


            

    权限我们选择允许下载允许上传即可。这两个是比较常见的,其他的配置默认。点击下一步


            

    这样我们就配置好QuickEasy FTP Server,下面,我们选择点击开启按钮(左上角的绿色按钮,即左上角绿色问号最左边的按钮),开启之后,状态变化,如下;



    这样我们就配置完Quick Easy FTP Server

    这里介绍一种容易出错的地方,就是开启时提示失败,可能是默认端口21被占用了,这里给出两种办法:

    改变默认端口,21改为数字较大的端口;

    使用netstat –ano| findstr “21”,查看那个进程在占用21端口,然后在任务管理器中关闭占用端口的程序即可。这里推荐方法1

     

    获取FTP的控制链接数据和数据链接数据

    下面我们在测试者机器上,打开Wireshark抓包工具,过滤条件输入ip.addr == 10.1.1.33,这里可以通过cmd的命令行去登录FTP服务器,也可以通过浏览器登录,我们这里,为了熟悉FTP的常用命令,使用cmd的命令行登录,如下


    上面的信息就是登录FTP服务器后,进行了一个上传和下载文件的操作,此处我们返回Wireshark界面停止抓包,保存,截图如下:


    接下来,我们就详细的对上面的步骤,进行分析。

     

     

    实验步骤二 分析FTP协议数据包

    FTP工作流程中使用控制链接和数据连接两种方式来实现数据传输,下面我们来分析这两种包的详细信息。

     

    分析控制链接的数据

    FTP的控制连接用于传送用户名、密码及设置传输方式等控制信息,下面以保存的ftp.pcapng捕获文件为例,分析FTP协议控制连接数据包。


    上图中显示了所有数据包的Info列,在这里可以看到ftp传输的所有信息,因为FTP是明文形式传输数据包的,所有我们在InFo列里能看到登录FTP服务器的用户名、密码和传输文件等。在上图中,登录FTP服务器的用户名为Hetian,密码为123456,下载了文件cat.jpg及上传了文件Tulip.jpg。这里显示的都是成功,如果传输过程中出差的话,会返回相应的应答码。

    在捕获的FTP数据包中,USERPASSCWDRETRSTOR等都是控制连接使用的控制命令。这些控制命令在包详细信息中,显示的格式都相同。这里以控制用户信息的命令为例,分析包的详细信息。在ftp.pcapng捕获文件中,捕获的用户信息如下:


    从该界面可以看到登录FTP服务器时,使用的控制命令是USERPASS。根据这两个命令,可以看到登录的账号为Hetian,密码为123456.这两个包的详细信息如下

    用户名包详细信息

    File Transfer Protocol (FTP)

           USERHetian\r\n

                  Requestcommand: USER

                  Requestarg: Hetian

    从上面的信息中,可以看到该包使用了FTP协议,输入的用户名为Hetian,请求的命令是USER,请求参数为Hetian

    密码的详细信息

    FileTransfer Protocol (FTP)

           PASS123456\r\n

           Requestcommand: PASS

           Requestarg: 123456

    从上面的信息中,可以看到输入的密码为123456,请求的命令是PASS,请求参数为123456

    其余的CMD等命令,学习者自己查看下。

     

    分析数据连接的数据

    数据连接用于传送文件数据,也就是通过FTP服务器进行上传和下载文件。下面以捕获的文件为例,分析数据连接的数据。


    上面的图中,控制命令RETRPORT的数据分别为上传和下载的数据包。这里我们以下载文件为例(上传相同原理),点击上面的第811帧数据,右键,


    选择Follow TCPStream选择,


    上面显示了所有FTP的传输信息,如果想要查看传输的数据,就要将这些信息去掉。关闭上面的窗口,在Wireshark中,你会发现过滤条件被修改为如下


    最简单的方法就是,在前面加一个!,就能达到去掉的效果。如下图:


    接下来就是要找到我们下载的文件。如何能快速的找到下载的文件呢,这里给出两种方法,大家自行选择:

    通过协议的字段去分析:你会发现,去掉了FTP的控制连接数据,显示的是TCP协议的数据,在TCP协议中,PUSH字段表示推送数据,我们就可以在Info中找到PUSH字段,间接找到想要的文件。

    我们知道下载的文件是JPG格式,所以也就知道二进制的表示为JFIFexe格式用二进制分析器打开是MZ的道理是一样的),所以就可以通过Wireshark自带的搜索,快速找到文件所在的帧数。搜索的快捷键是Ctrl+F.如下图


    这样也能找到相应的帧信息。我们在找到帧信息之后(814帧或者820均可),通过右键,Follow TCPStream,可以看到数据的信息,其中的JFIF表示了文件格式为jpg,如下:


    我们点击上图的Save as,输入名字cat.jpg即可。


    打开保存的文件,即我们下载的图片


    这个时候关闭Follow TCP Stream弹出的窗口,Wireshark显示的信息如下:


    上面的数据包显示了传输cat.jpg文件的所有非FTP控制数据包,在该过程中,明细可以看到,经理了TCP的三次握手和四次断开连接。请学习者根据上面的方法,去寻找找到上传的文件信息。


    展开全文
  • 这次为大家带来一篇使用Wireshark抓取Telnet、FTP、路由器登陆密码的教程,目的是为了在理论的基础上进一步提升实战技术,文章可能有遗漏或错误之处,还请各位积极提出. 实验环境:Wireshark、开启Telnet、FTP服务的...
  • 当时老师给的任务是利用wireshark软件抓取ftp、pop3、http、smtp、telnet,并保存下来。 (注意:实验课上我的老师要求我们抓取的协议是没有具体要求的,只要是http、telnet、pop3、smtp、ftp协议都可以。所以可以...
  • 实验二 简单网络命令和wireshark捕获FTP用户名密码 预备知识 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用...
  • WireShark抓取TCP四次挥手报文实战

    万次阅读 2020-07-03 10:48:42
    WireShark抓取TCP四次挥手报文实战 可以使用下面的java代码充当服务器端: public class SingleThreadServer2 { public static final int PORT = 8899; public static void main(String[] args) throws IOException...
  • WireShark抓取网站用户名和密码

    千次阅读 2020-03-15 17:42:18
    由于WireShark默认抓取所有的请求,所以要进行筛选,将无用的过滤掉。 对网站进行ping测试,一般都会得到一个ip地址,这个ip地址就是待会我们需要留存的信息。 WireShark支持命令行筛选,我们需要输入限制数据包...
  • (转自:... (首先声明一下我也是一名小白,初学wireshark没多久,我也很愿意和大家一起讨论wireshark的具体应用。)本实验使用的版本是wireshark2.4.7版,选择“捕获”-“选...
  • Wireshark理解 FTP 传输过程

    千次阅读 2019-09-12 17:23:26
    FTP概述 文件传输协议(FTP)作为网络共享文件的传输协议,在网络应用软件中具有广泛的应用。FTP的目标是提高文件的共享性和可靠高效地传送数据。在传输文件时,FTP客户端程序先与服务器建立连接,然后向服务器发送...
  • Wireshark分析FTP流量

    2019-05-26 15:19:00
    可以看出ftp操作 过滤ftp-data,查看tcp流,得到压缩包的数据流 数据显示为原始数据,并保存为.rar文件即可得到压缩包,解压时需要密码 搜索"pass",结果它在tcp流中 对0rvWprrs0NOz9se9wLQ=base64解码,显示...
  • 后来就换着使用WireShark抓取手机上的网络请求。 WireShark功能非常强大,它能过滤几乎所有的协议,并且也很少出现卡顿的情况,体验起来确实比Charles要好。在介绍使用WireShark之前,我们首先要了解一些常...
  • WiresharkFTP协议分析(一)

    千次阅读 2018-11-15 22:05:17
    最近项目需求,需要抓取并还原网络中通过ftp传输的文件。故对ftp协议进行了简单学习,总结如下。 1. ftp协议概述 这部分内容我参考的百度文库的一篇文档: ... 里面讲的很详细。在此对重点的部分进行总结一下。...
  • wireshark过滤表达式&wireshark捕获ftp协议分析

    万次阅读 多人点赞 2017-10-15 20:40:59
    记录学习Wireshark的一些问题,主要是: 1.过滤表达式 2.本机搭建ftp站点 3.利用wireshark捕获ftp的协议交互过程并对此进行分析
  • WireShark捕捉不到FTP数据包

    千次阅读 2020-06-22 10:22:32
    开启wireshark工具,在过滤器一栏中输入本机的IP地址,格式为ip.addr=…。在测试机上利用cmd命令行登录ftp服务器: ftp 本台主机域名 连接到服务器 输入用户名 输入对应的密码 执行ls命令 get license.txt 下载...
  • WiresharkFTP协议分析(二)

    千次阅读 2018-11-15 23:19:42
    以实际抓来分析ftp协议,加深理解。 环境: win7电脑+linux设备,linux设备为ftp服务端,win7电脑通过WinSCP的ftp主动方式(我得版本winscp默认是被动方式,需要从高级选项修改)来连接ftp服务端。 过程: ...
  • Wireshark学习FTP流程

    万次阅读 2015-01-25 12:01:46
    Wireshark是通过底层的winpcap来实现抓的。winpcap是用于网络封包抓取的一套工具,可适用于32/64位的操作平台上解析网络封包,包含了数据包截获驱动程序,一个底层动态链接库,和一个高层静态链接库,winpcap在...
  • 采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤...
  • 老师布置任务,准备做一个类似于FTP协议解析的软件,初步先让我用WireShark多抓抓ftp,来研究一下。 我想通过访问FTP服务器并随意下载一些东西,在此过程进行抓。但是现在的问题是现在找不到FTP服务器资源啊...
  • wireshark网络抓详解

    2021-07-27 23:43:43
    Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取...
  • 前段时间,因为同事需要分析数据,所以使用了WireShark,但是呢,小伙子不太知道怎么抓取数据,于是就来询问了一下阿粉,阿粉就手把手的教给他,如何使用WireShark进行抓分析,在这里也分享给大家。 <–more–&...
  • 最佳答案 wireshark 是一款网络数据抓软件。能够嗅探到一些诸如:POP3、FTP的登录密码、还能够分析抓取到的各种数据包。但是一般来说,还原抓取到的各种格式的信息还是比较困难的
  • 通过wireshark抓取telnet登陆密码

    万次阅读 2016-03-15 21:10:42
    笔者学校有一台设备 ip地址是 192.168.84.10  先打开wireshark捕获无线网卡。 使用telnet登陆如图所示: ...现在回到wireshark停止抓 并且在filter处输入如下的过滤规则 ip.addr==192.168.84.10 && t
  • Wireshark验证FTP明文传输

    千次阅读 2013-06-14 22:21:02
    本人菜鸟,喜欢计算机网络,致力信息安全!...测试软件:Filezilla Server/FTP服务器端、Wireshark/抓工具 账号密码:test/test 账号/密码 FTP服务器:192.168.66.41 FTP客户端:192.168.66.70 2、安装Filezil
  • WiresharkFTP抓分析

    2021-04-09 18:32:11
    Wireshark FTP抓包分析 Xlight+FlashFXP抓包FTP分析①TCP三次握手建立连接请求②登录FTP服务器③...经查阅资料发现Wireshark通过网卡抓包,无法在本地传输到本地的情况下抓FTP包。 因此利用另一台在局域网内的电脑进行
  • .\plink.exe -ssh -pw 密码 root@172.24.239.10 “tcpdump -U -i pnet1 -s 0 -w -” |“C:\Program Files\Wireshark\Wireshark.exe” -k -i -

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,147
精华内容 858
关键字:

wireshark抓取ftp包