网络流量分析(二)

原著:

翻译:土鳖(ISHTAR ISHTARIII@263.NET)

发表时间:2001/02/21

--------------------------------------------------------------------------------

(译者注: 作者在这里又把前面一篇文章开头的话说了半天,俺就全给他省了)在以前的文章里已经探讨了TCP/UDP/SSH的情况,下面我们来看FTP,你应该有TC排队基础,熟知WINDUMP和TCPDUMP的报告格式,这些我们在前文里面已经介绍过了

标准的FTP进程

FTP建立进程的方式非常有趣.在检测FTP流量前,我从MYPC.XX.YY.ZZ到远程的FTP服务器建立一个连接,假设这个服务器是FTP.microsoft.com(207.46.133.140)

FTP进程和我们上文见到的SSH进程的建立方式有些类似,首先取得默认网关的MAC地址,只是这里这个过程在MYPC的ARP CACHE里完成,不必劳烦动用ARP请求,这个结果会在DNS里面见到,请求获得目的FTP服务器的IP地址后,又取得一个DNS回复,注意这些UDP包,客户机使用高端口而服务器使用低端口53用于DNS解析.

13:50:46.490130 mypc.xx.yy.zz.3170 > dnsserver.xx.yy.zz.53: 1+ A? ftp.microsoft.com. (35)

13:50:46.500269 dnsserver.xx.yy.zz.53 > mypc.xx.yy.zz.3170: 1 q: ftp.microsoft.com. 1/4/4

ftp.microsoft.com. A 207.46.133.140 (215)

现在MYPC有了服务器的IP地址: 207.46.133.140,立即于服务器的21端口建立TCP的三次握手

13:50:46.564494 mypc.xx.yy.zz.3171 > 207.46.133.140.21: S 87666930:87666930(0)

win 65535 (DF)

13:50:46.671920 207.46.133.140.21 > mypc.xx.yy.zz.3171: S 3058770520:3058770520(0)

ack 87666931 win 17520 (DF)

13:50:46.672155 mypc.xx.yy.zz.3171 > 207.46.133.140.21: . 87666931:87666931(0)

ack 3058770521 win 65535 (DF)

握手完成后,客户机开始和FTP服务器交换信息,服务器要求用户提供用户名,我敲了anonymous而且输入EMAIL作为密码,这一系列交流是通过PUSH/ACK和ACK包完成的.下面就是一个例子,在例子里面,MYPC使用的是3171端口,服务器是21端口

13:50:46.779273 207.46.133.140.21 > mypc.xx.yy.zz.3171: P 3058770521:3058770576(55)

ack 87666931 win 17520 (DF)

13:50:46.896881 mypc.xx.yy.zz.3171 > 207.46.133.140.21: . 87666931:87666931(0)

ack 3058770576 win 65480 (DF)

13:50:48.282313 mypc.xx.yy.zz.3171 > 207.46.133.140.21: P 87666931:87666947(16)

ack 3058770576 win 65480 (DF)

13:50:48.388962 207.46.133.140.21 > mypc.xx.yy.zz.3171: P 3058770576:3058770648(72)

ack 87666947 win 17504 (DF)

13:50:48.495939 mypc.xx.yy.zz.3171 > 207.46.133.140.21: . 87666947:87666947(0)

ack 3058770648 win 65408 (DF)

和SSH相比,FTP有些差别:它在整个连接过程中采用进程控制.用户向服务器的请求和服务器对客户的回应都通过这个控制通道进行.类似目录列表/上传和下载这样的数据传输则不通过这个通道进行,在这个例子里,客户机的3171端口个服务器的21端口就是控制通道,当用户下载文件或者要求列出目录列表时,相应的数据传输实际上是通过另外一个连接进行的.

当用户使用LS命令来要求列出目录时,相应的步骤开始了.服务器为了初始化一个到客户机的连接,它就必须知道和客户机的哪个端口建立连接.在这个记录文件里,在第一行里: 客户机告诉服务器用于连接的IP地址和端口号;第二行则是服务器的回复,告诉客户机IP地址和端口号被接受;第三行是客户机要求列出目录列表,第四行则是服务器告知客户机自己正在初始化连接

13:50:53.501031 mypc.xx.yy.zz.3171 > 207.46.133.140.21: P 87666966:87666994(28)

ack 3058770765 win 65291 (DF)

13:50:53.607175 207.46.133.140.21 > mypc.xx.yy.zz.3171: P 3058770765:3058770795(30)

ack 87666994 win 17457 (DF)

13:50:53.632708 mypc.xx.yy.zz.3171 > 207.46.133.140.21: P 87666994:87667000(6)

ack 3058770795 win 65261 (DF)

13:50:53.737852 207.46.133.140.21 > mypc.xx.yy.zz.3171: P 3058770795:3058770850(55)

ack 87667000 win 17451 (DF)

为了传输数据(,在这里是客户机从服务器取得的目录列表,),服务器初始化了一个从自己的20端口到客户机指定端口(这里是3172)的连接,我们看到三次握手建立,服务器开始向客户机发送PUSH/ACK数据包,这里面就有文件列表,因为他正好小到可以放进一个包里.

13:50:53.738024 207.46.133.140.20 > mypc.xx.yy.zz.3172: S 3061133541:3061133541(0)

win 16384 (DF)

13:50:53.738200 mypc.xx.yy.zz.3172 > 207.46.133.140.20: S 87674104:87674104(0)

ack 3061133542 win 65535 (DF)

13:50:53.844704 207.46.133.140.20 > mypc.xx.yy.zz.3172: . 3061133542:3061133542(0)

ack 87674105 win 17520 (DF)

13:50:53.850833 207.46.133.140.20 > mypc.xx.yy.zz.3172: P 3061133542:3061133706(164)

ack 87674105 win 17520 (DF)

这时,出现了2个独立的连接:

一个是客户机的3171和服务器的21端口的连接

一个是客户机的3172和服务器的20端口的连接

服务器一旦完成目录列表的传输,就采用发送FIN/ACK包数据的方式准备结束连接.需要注意的是服务器仅仅在自己的20端口上结束了连接而不是21端口上的控制通道.当数据传输连接截断后,控制通道内仍然有数据传输.下面记录的第五行就显示了控制通道内一个24字节的传输,从客户机的角度看来,是一个”226 TRANSFER COMPLETE”的显示,表示传输成功.

13:50:53.850981 207.46.133.140.20 > mypc.xx.yy.zz.3172: F 3061133706:3061133706(0)

ack 87674105 win 17520 (DF)

13:50:53.851068 mypc.xx.yy.zz.3172 > 207.46.133.140.20: . 87674105:87674105(0)

ack 3061133707 win 65371 (DF)

13:50:53.895937 mypc.xx.yy.zz.3171 > 207.46.133.140.21: . 87667000:87667000(0)

ack 3058770850 win 65206 (DF)

13:50:53.903415 mypc.xx.yy.zz.3172 > 207.46.133.140.20: F 87674105:87674105(0)

ack 3061133707 win 65371(DF)

13:50:54.002060 207.46.133.140.21 > mypc.xx.yy.zz.3171: P 3058770850:3058770874(24)

ack 87667000 win 17451 (DF)

13:50:54.009333 207.46.133.140.20 > mypc.xx.yy.zz.3172: . 3061133707:3061133707(0)

ack 87674106 win 17520 (DF)

13:50:54.196818 mypc.xx.yy.zz.3171 > 207.46.133.140.21: . 87667000:87667000(0)

ack 3058770874 win 65182 (DF)

如果我从服务器下载数据,我们会看见相同的数据进程,服务器会从自己的20端口到客户机的新的高端口建立一个连接,进行三次握手,数据是通过这个连接进行传输,传输一旦完成,连接即告断开.

在FTP进程里,在同一时间内可能存在多个数据连接,每建立一个连接,一个新的客户机的端口就被打开使用,仅仅看到进程的一部分的话,可能会被认为是一个端口扫描,尤其是当客户机端口有保护时.所以遇见这种情况时,你就应该仔细看看数据传输的情况以判断到底是端口扫描还是仅仅只是FTP连接.

被动的FTP进程

FTP的另一特殊之处在于服务器要初始化和客户机的连接,而不是由客户机初始化所有与服务器的连接,由于他的这种特性,可能会导致一些防火墙和包过滤器的过激反应.为了解决这个问题,用户可以采用被动FTP来取代标准FTP.

被动FTP在开始时个一般的FTP一样:客户机先初始化一个从服务器21端口到自己高端口的连接,当需要开放一个数据传输通道是,服务器向客户机发送一个可供选择的高端口号,客户机则初始化从自己的高端口和服务器的高端口的连接.所以在使用被动FTP时,20端口从不被使用,所有数据传输均通过高端口进行.

这里有一个被动FTP工作的例子,信息源是一台OPENBSD2.8,截获手段是TCPDUMP,OPENBSD的客户端的默认设置是使用被动FTP

首先,被动的FTP和普通的FTP一样,客户机初始化一个从自己的高端口到服务器21端口的TCP连接(请注意我这里用的是OPENBSD下的TCPDUMP而不是WINDOWS下面的WINDUMP,所以记录看来有很大的差别)

15:57:28.005993 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: S 157025335:157025335(0)

win 16384

15:57:28.099136 207.46.133.140.21 > bsdpc.xx.yy.zz.28348: S 1286994806:1286994806(0)

ack 157025336 win 17520 (DF)

15:57:28.099193 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: .

ack 1286994807 win 17376

15:57:28.193361 207.46.133.140.21 > bsdpc.xx.yy.zz.28348: P 1286994807:1286994862(55)

ack 157025336 win 17520 (DF)

15:57:28.193413 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: . ack 1286994862 win 17376

(N.B.: Several additional PUSH/ACK and ACK packets have been omitted.)

(作者原注:这里省略了好多PUSH/ACK和ACK数据包)

the client simply acknowledges that it has received the packet with the port information.

接下来,我键入LS以取得文件列表,在第一个数据包里,我的FTP客户机告诉服务器要使用被动FTP,第二个包则是服务器的回应,包括了分配以用于连接的服务器IP地址和端口号,在第三个包里,客户机确认已经收到了包含端口信息的数据包.

15:57:36.243722 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: P 157025383:157025389(6)

ack 1286995115 win 17376

15:57:36.342188 207.46.133.140.21 > bsdpc.xx.yy.zz.28348: P 1286995115:1286995166(51)

ack 157025389 win 17467 (DF)

15:57:36.342213 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: .

ack 1286995166 win 17325

现在客户机知道使用服务器的哪一个端口,从另一高端口建立了一个倒服务器的连接,在这里是端口24626,服务器使用端口3668,三次握手建立,我们就看见服务器21端口和客户机28348端口间的控制通道里开始有数据传输

15:57:36.342370 bsdpc.xx.yy.zz.24626 > 207.46.133.140.3668: S 157871686:157871686(0)

win 16384

15:57:36.440039 207.46.133.140.3668 > bsdpc.xx.yy.zz.24626: S 1292391804:1292391804(0)

ack 157871687 win 17520 (DF)

15:57:36.440076 bsdpc.xx.yy.zz.24626 > 207.46.133.140.3668: .

ack 1292391805 win 17376

15:57:36.440167 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: P 157025389:157025395(6)

ack 1286995166 win 17376

15:57:36.542608 207.46.133.140.21 > bsdpc.xx.yy.zz.28348: P 1286995166:1286995220(54)

ack 157025395 win 17461 (DF)

15:57:36.542638 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: . ack 1286995220 win 17322

数据传输连接已经建立,文件列表得以传输,如果你现在看看依照时戳的记录,似乎是在数据传输结束前(第三行)服务器就终止了连接(第一行),如果你再看下去,你就会发现收到的数据包是杂乱无章的,0字节的数据包后于1167字节的数据包发出,但是却先被收到,当你分析记录时按时戳顺序是很有用的,但是你最好注意序列号.

15:57:36.547340 207.46.133.140.3668 > bsdpc.xx.yy.zz.24626: F 1292392972:1292392972(0)

ack 157871687 win 17520 (DF)

15:57:36.547367 bsdpc.xx.yy.zz.24626 > 207.46.133.140.3668: .

ack 1292391805 win 17376

15:57:36.549363 207.46.133.140.3668 > bsdpc.xx.yy.zz.24626: P 1292391805:1292392972(1167)

ack 157871687 win 17520 (DF)

15:57:36.549396 bsdpc.xx.yy.zz.24626 > 207.46.133.140.3668: .

ack 1292392973 win 16209

15:57:36.551374 bsdpc.xx.yy.zz.24626 > 207.46.133.140.3668: F 157871687:157871687(0)

ack 1292392973 win 17376

15:57:36.635184 207.46.133.140.21 > bsdpc.xx.yy.zz.28348: P 1286995220:1286995244(24)

ack 157025395 win 17461 (DF)

15:57:36.635211 bsdpc.xx.yy.zz.28348 > 207.46.133.140.21: .

ack 1286995244 win 17376

15:57:36.647798 207.46.133.140.3668 > bsdpc.xx.yy.zz.24626: .

ack 157871688 win 17520 (DF)

小结

我们已经深入分析了FTP,FTP用2种方式连接:数据控制:控制通道用于发送客户机到服务器的命令请求和服务器的回应.FTP客户机初始化一个到服务器的控制连接.在标准FTP里,服务器初始化所有的到客户机的连接,在被动FTP里,客户机初始化所有的到服务器的数据传输.

我建议大伙做点自己的FTP测试(千万注意合法性!!!)下一篇文章将重点介绍一些普通数据流的额外特性.

Karen Frederick is a senior security engineer for NFR Security. Karen has a B.S. in Computer Science and is completing her Master's thesis in intrusion detection through the University of Idaho's Engineering Outreach program. She holds several certifications, including Microsoft Certified Systems Engineer + Internet, Check Point Certified Security Administrator, and SANS GIAC Certified Intrusion Analyst. Karen is one of the authors and editors of "Intrusion Signatures and Analysis", a book on intrusion detection that was published in January 2001.