Протокол FTP существует довольно давно и до сих пор широко используется сегодня для загрузки файлов на веб-серверы. Хорошо известно, что FTP небезопасен, поскольку данные передаются в виде открытого текста, который можно непосредственно прочитать из анализатора пакетов. Это будет означать, что информация для входа на FTP, содержащая имя пользователя и пароль, может быть захвачена анализатором пакетов, когда клиентское ПО FTP инициирует соединение с сервером FTP. Шифрование может использоваться в FTP с использованием протокола SFTP или FTPS вместо незащищенного FTP.
FTP не только отображает информацию о входе в систему в виде открытого текста, передаваемые файлы между клиентом и сервером могут быть перехвачены и повторно собраны анализатором пакетов, чтобы показать, какие файлы загружаются или загружаются с FTP-сервера. Это полезно для администраторов, чтобы обнаружить несанкционированную передачу конфиденциальных файлов компании во время аудита сетевого трафика, но также может использоваться для злоупотреблений. Здесь мы покажем вам 5 бесплатных программ для отслеживания пакетов, которые могут восстанавливать файлы, передаваемые по FTP.
1. Intercepter-NG
Intercepter-NG – это сетевой инструментарий, который позволяет восстанавливать файлы, передаваемые по протоколу FTP. Помимо FTP, он также поддерживает восстановление файлов по протоколу HTTP IMAP POP3 SMTP SMB. Помимо восстановления файлов, Intercepter-NG может перехватывать сообщения чата и хэши паролей, захватывать необработанные пакеты и выполнять несколько эксплойтов, таких как Heartbleed, SMB Hijack, HTTP Injection, ARP-спуфинг и т. Д.
Чтобы начать прослушивание сетевых пакетов и восстановить файлы, передаваемые по FTP, прежде всего важно выбрать интерфейс, который вы будете использовать для прослушивания, нажав на значок сетевого адаптера, расположенный в левом верхнем углу. Нажав на нее, вы переключитесь между Ethernet и Wi-Fi. Затем щелкните раскрывающееся меню, чтобы выбрать активный адаптер, а затем щелкните значок воспроизведения, чтобы начать прослушивание. Перейти кВоскресенский режим»И восстановленные файлы будут перечислены там.
Скачать Intercepter-NG
2. SoftPerfect Network Protocol Analyzer
SoftPerfect Network Protocol Analyzer – бесплатный анализатор пакетов для анализа и отладки сетевых подключений. Несмотря на то, что в нем нет автоматизированного способа повторной сборки файлов в пакетах, мы покажем вам, как легко восстановить их за несколько шагов. Первым шагом является выбор сетевого интерфейса, который используется в настоящее время для прослушивания пакетов, и нажмите кнопку «Начать захват». Когда вы закончите захват пакетов, нажмите «Захват» в строке меню и выберите Реконструкция сессий TCP который приведет вас к вкладке Потоки данных.
Обратите внимание на порт сервера и продолжительность сеанса. Если вы видите порт 21, за которым следует больший размер сеанса, это, вероятно, файл для передачи. Выберите поток данных и щелкните значок сохранения, расположенный в левом нижнем углу, а затем выберите «Сохранить как необработанные данные». Затем вы можете использовать любой из инструментов, упомянутых в этой статье, чтобы определить тип файла. В качестве альтернативы, если файл относительно небольшой, вы можете загрузить его в интерактивный идентификатор файла TrID, чтобы определить формат файла.
Опытный пользователь может сразу сказать, что первые несколько байт, отображающие «MZA», являются исполняемым файлом.
Загрузить SoftPerfect Network Protocol Analyzer
3. NetworkMiner
На самом деле NetworkMiner – это очень мощный инструмент для криминалистического анализа сети, более удобный для пользователя по сравнению с WireShark. Восстановление файлов прекрасно работает на адаптере Ethernet, но для беспроводного захвата требуется адаптер AirPcap для лучшей работы, в то время как внутренние беспроводные адаптеры, скорее всего, не смогут собрать любой файл из захваченного пакета. Однако другие функции, такие как извлечение учетных данных, будут работать.
Еще одним преимуществом NetworkMiner является возможность анализа файлов PCAP, экспортированных из других программ захвата пакетов, таких как WireShark и tcpdump.
Скачать NetworkMiner
4. Wireshark
Хотя Wireshark в основном используется профессионалами для захвата и анализа пакетов, поскольку он не очень удобен для пользователя, мы обнаруживаем, что на самом деле довольно легко найти данные, передаваемые по FTP, с помощью функции поиска, следовать потоку TCP и, наконец, сохранить весь разговор как сырой файл.
На панели фильтров введите FTP-данных в поле и нажмите Enter. Нажмите кнопку «Анализ» в строке меню и выберите «Следить за потоком TCP».
Обратите внимание на первые несколько байтов в потоке контента, который даст вам представление о расширении файла. Приведенный ниже пример показывает PK, который является форматом файла ZIP. На самом деле, заголовок файла также показывает имя файла zip-файла arpfreezeNG.
Чтобы восстановить файл, просто выберите «Raw» и нажмите кнопку «Сохранить как». Поскольку это zip-файл, вы должны сохранить его с расширением .ZIP и, желательно, как arpfreezeNG.zip, если вы хотите сохранить исходное имя файла.
Скачать Wireshark
5. SmartSniff
SmartSniff – это бесплатный анализатор пакетов, созданный Nirsoft, и очень полезная функция этого инструмента – возможность захвата с использованием необработанных сокетов и без стороннего драйвера WinPcap. Однако известно, что метод raw sockets не работает на всех системах из-за API Windows. Если вы захватили много пакетов, может быть нелегко найти данные пакета, содержащие переданные файлы.
Как вы можете видеть на скриншоте выше, первые несколько байтов, показанные на нижней панели, дают вам подсказку, что необработанные данные являются исполняемым файлом. Нажмите Ctrl + E, чтобы экспортировать потоки TCP / IP и сохранить его как «Raw Data Files – Local (* .dat)». Переименуйте расширение .dat в .exe, и вы получите восстановленный файл.
Скачать SmartSniff