Stack Ashes
Go back

流量分析-数字取证

Part4

实验环境

取证工具 wireshark 流量包 2024_part_4.pcap

Source of Evidence

Tapping the wire and the air – Network packets

分析过程

前置知识:osi七层模型 tcp协议三次握手四次挥手 ftp

1	0.000000	192.168.56.1	192.168.56.101	TCP	78	54017 → 21 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=8 TSval=489244036 TSecr=0 SACK_PERM

TCP 三次握手的第一步,客户端尝试与 FTP 服务器建立连接。 客户端的源端口是 54017,FTP 服务器的目标端口是 21 (ftp默认端口) TCP 连接的初始化请求(SYN)客户端请求与服务器建立连接 客户端的序列号(Seq)从 0 开始,表示连接的初始状态。

2	0.000043	192.168.56.101	192.168.56.1	TCP	74	21 → 54017 [SYN, ACK] Seq=0 Ack=1 Win=14480 Len=0 MSS=1460 SACK_PERM TSval=2590583 TSecr=489244036 WS=128

TCP 三次握手的第二步,服务器响应客户端的连接请求并确认序列号,服务器的源端口是 21,客户端的目标端口是 54017。服务器的序列号(seq)为 0,表示这是它的响应包。确认号 Ack=1, 服务器确认客户端的序列号为 1,即客户端的 SYN 包的序列号加 1

3	0.000454	192.168.56.1	192.168.56.101	TCP	66	54017 → 21 [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSval=489244036 TSecr=2590583

TCP 三次握手 的第三步,客户端确认接收到服务器的响应,从而完成连接建立。 客户端的源端口是 54017,服务器的目标端口是 21,客户端确认服务器的响应,发送了 ACK 包。此时 TCP 连接已经建立

分析可以行为

过滤条传输层的数据帧, 筛选协议为FTP的数据帧

分析其数据帧

6	0.006512	192.168.56.1	192.168.56.101	FTP	76	Request: USER bro 

# 发送用户名bro
8	0.009093	192.168.56.101	192.168.56.1	FTP	98	Response: 331 Password required for bro.
# 要求必须要输入密码
10	0.009567	192.168.56.1	192.168.56.101	FTP	74	Request: PASS 1
# 输入密码1
12	2.371080	192.168.56.101	192.168.56.1	FTP	88	Response: 530 Login incorrect.
# ftp服务端返回登录失败
14	2.371558	192.168.56.1	192.168.56.101	FTP	72	Request: QUIT
# 每次登录失败后,客户端都发送 `QUIT` 请求关闭连接
16	2.371849	192.168.56.101	192.168.56.1	FTP	80	Response: 221 Goodbye.
# 服务器会响应 `221 Goodbye`,表示断开连接
24	2.382200	192.168.56.101	192.168.56.1	FTP	135	Response: 220 redmint FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready.
# 准备第二次ftp登录
26	2.382326	192.168.56.1	192.168.56.101	FTP	76	Request: USER bro
# 用户名依旧为bro
28	2.384485	192.168.56.101	192.168.56.1	FTP	98	Response: 331 Password required for bro.
30	2.384678	192.168.56.1	192.168.56.101	FTP	74	Request: PASS 2
# 输入密码为2
-----
596	57.457335	192.168.56.1	192.168.56.101	FTP	75	Request: PASS 30
598	59.116920	192.168.56.101	192.168.56.1	FTP	88	Response: 530 Login incorrect.
600	59.117344	192.168.56.1	192.168.56.101	FTP	72	Request: QUIT
602	59.117560	192.168.56.101	192.168.56.1	FTP	80	Response: 221 Goodbye.
# 直到登录30次密码登录失败后停止了登录

结论

网络数据捕获可以分析出ip 192.168.56.1 对目标ip的ftp服务进行了长达30次的登录,有理由怀疑,ip 192.168.56.1 在利用枚举尝试进行未授权访问。

Share this post on:
Share this post via WhatsApp Share this post on Facebook Share this post on X Share this post via Telegram Share this post on Pinterest Share this post via email
Previous Post
流量分析-数字取证
Next Post
thm-otf