در این مطلب قصد داریم به شما آموزش شنود کردن user و password پروتوکل ftp رو آموزش بدیم...لازم میدونم بگم که از اونجایی که پروتوکل ftp رمز نگاری رو به صورت clear text انجام میده یعنی روی user و password هیچ عمل encryption انجام نمیدهرمز رو به همون صورتی که هست میفرسته و با شنود کردن میتونیم راحت رمز رو بخونیم..روش ساخت ftp server رو دوستان تو انجمن از قبل نوشتن پس من فقط در مورد شنود کردنش توضیح میدم:برای شنود کردن یا مانیتورینگ شبکه از نرم افزار های زیادی میشه استفاده کرد که من الان میخوام روش شنود پورت 21 پورت ftp رو به شما با نرم افزار Wireshark آموزش بدماز روی مراحل پایین میتونید انجام بدین:
1- ابتدا دانلود و نصب نرم افزار Wireshark،نسخه ی مربوط به سیستم عاملتون رو دانلود کنید 64 و 32 بیت بودنش مهم هستش... و در موقع نصب حتما حواستون باشه که نرم افزار winpcap باهاش نصب بشه چون اگر نصب نشه نرم افزار کارت شبکه ی شما رو نمیتونه شناسایی کنه.
2- وارد نرم افزار بشید، از قسمت Capture اسم کارت شبکه ای رو که packet های ftp ازش عبور میکنه رو انتخاب کنید و روی start کلیک کنید تا مانیتورینگ شروع بشه
3- در اینجا الان تمام packet های ورودی و خروجی که به کارت شبکه ی شما مربوط میشه رو شنون میده از هر پورت و پروتوکلی...
4- برای پیدا کردن packet های مربوط به پروتوکل ftp فقط کافیه در قسمت filter تایپ کنید ftp و اینتر بزنید
5- حالا برای مثال اگه بخوایم ببینیم از ip 192.168.137.53 که به وسیله ی پورت ftp به سرور وصل شده یوزر و پسووردش رو ببینیم روی packet کلیک راست کرده گزینه ی follow TCP stream رو انتخاب می کنیم.
و من الله و توفیق :D
سلام
یه سوالی ، آیا با wireshark میشه جایی که پکت تو راه مقصدش loss میشه رو پیدا کرد؟
که توی سوییچه یا تو فایرواله یا جای دیگه؟!!
این عملیات را میتوان توسط ARP پیش برد. عملکرد زیرکانه ARP حول دو دسته کلی متمرکز شده است: دسته درخواستی ARP و دسته پاسخی ARP.
اهداف این دسته ها، پیداکردن مکان مک آدرس هایی است که با آدرس های IP داده شده ترکیب شده اند. یافتن مکان مکان مک آدرس ها باید به صورتی باشد که در مسیر انتقال داده ها خللی ایجاد نشود. دسته درخواستی به تمامی دستگاههای شبکه فرستاده شده و حاوی پیغامی مشابه این است:
(( آهاای آدرس IP! من XX:XX:XX:XX و مک آدرس من XX:XX:XX:XX:XX:XX هستش... من باید مطلبی رو واسه یه بنده خدا که آدرس IPش به صورت XX:XX:XX:XX هست ارسال کنم... ولی آدرس سخت افزاری این طرف رو نمیدونم ... میشه کسی که این آدرس IP رو داره با اعلام مک آدرس خودش به من جواب بده؟؟ ))
پاسخ از طریق دسته پاسخی ARP اعلام شده و حاوی این متن است:
(( آهای سیستم انتقال!! من همون کسی هستم که دنبالشی و آدرس IP من XX:XX:XX:XX و مک آدرسم XX:XX:XX:XX:XX:XX هستش))
به محض اینکه این روند تکمیل شد، دستگاه انتقال جدول حافظه کش ARD خود را آپدیت کرده و پس از آن هر دو دستگاه قادر به برقراری ارتباط با هم می شوند...
روش حمله از طریق مسموم سازی حافظه کش ARP، از طبیعت ناامن سیستم ARP بهره میگیرد. برخلاف یسیتم هایی نظیر DNS که طوری طراحی می شوند که تنها دارای قابلیت بروز شوندگی دینامیکی امن هستند، دستکاههایی که از ARP استفاده می کنند، می توانند در هر زمانی بروزرسانی و آپدیت شوند. این یعنی هر دستگاهی در شبکه می تواند یک دسته پاسخی ARP به میزبان ارسال کرده و وی را مجبور کند تا حافظه کش ARP خود را مطابق با مقادیر جدید آپدیت کند. ارسال یک دسته پاسخی ARP بدون اینکه درخواستی فرستاده شده باشد، فستاده بلاعوض ARP نامیده می شود. هنگامیکه نیت شومی توسط حمله کنندگان در حال پیگیری باشد، ارسال چند فرستاده بلاعوض ARP باعث می شود تا قربانیان حمله گمان برند که با یک کامپیوتر میزبان در ارتباط هستند. در صورتیکه قربانیان در حال تبادل اطلاعات با یک حمله کننده در حال اسنیف کردن یا همان استراق سمع هستند.
ضمناً نرم افزار Cain&Abe یکی از راحت ترین و قدرتمند ترین ابزار ها در این خصوص است. که در تصویر زیر میتونید قسمتی از کارها یا اسنیف هایی که میتونه انجام بده رو ببینید و هنگام اجرای نرم افزار خودش پیام میده که من نمیتونم HTTPS رو اسنیف کنم و این به خاطر امنیت بالای HTTPS هست.
چطوری مهندس خانلری گرامی، میشه توضیح بدید لطف می کنید.
روی HTTP و pop3 , ... هم میتونید ولی اکثراً یوزر و پسورد رو Encrypt میکنن ولی FTP خیلی راحته چون Encrypt نمیشه.
سپاس گذارم ، ولی یک پرسش دارم از شما دوست گرامی، ایا بروی Protocol های دیگه ای هم میشه عملیات شنود انجام داد.
عالی بود