SERV-U是一款很普及的FTP工具,利用其搭建FTP服务器非常简单。但是默认配置下SERV-U用21端口提供FTP服务,并且数据没有进行任何的加密是明文传递。因此,一个恶意用户可以通过sniffer工具获取FTP用户的帐户和密码。下面,我们部署环境进行SERV-U的Sniffer测试。
一、SERV-U的Sniffer测试
1、测试环境:
A、B同一子网的两台计算机,B是员工计算机,一名员工通过其访问公司的FTP服务器。A是我们安装了sniffer的计算机,其目的是嗅探使用B计算机访问FTP服务器的员工的帐户和密码。
2、测试过程:
(1).在A计算机上安装sniffer嗅探工具,并启动该程序。在sniffer软件中通过上方的“matrix”(矩阵)按钮启动监测界面,打开监测界面后我们就可以开始监测网络中的数据包了。通过菜单栏的“capture(捕获)→start(开始)”启动。在检测数据包窗口中我们点左下角的objects(对象)标签,然后选择station(状态),这样将把当前网络中所有通信都显示在窗口中。(图1)
(2).这时候我们通知B计算机的员工使用电脑登录了FTP服务器,那么我们在sniffer中点菜单的“capture(捕获)→stop and display(停止并显示)”。这里假设我们FTP服务器的IP地址为192.168.1.20,那么我们从显示的地址列表中找到关于192.168.1.20这个IP的数据包,然后点下方的“DECODE(反解码)”按钮进行数据包再分析。(图2)
(3).在“DECODE”(反编码)界面中我们就可以对关于192.168.1.20的所有数据包进行分析了。我们一个一个的分析数据包,分析到大概第十九个数据包时出现用户名信息,我们可以从界面中看到用户名为lw。继续往下看,到了第二十一个数据包的时候就可以看到密码了,密码以明文的形式显示在sniffer中,密码为test168。(图3)
至此,我们通过sniffer工具获取了该员工登录FTP服务器的帐户和密码。依据笔者的经验,攻击者在获取了服务器的控制权之后,往往会安装相应的嗅探工具,进而获取更多的敏感信息,因此,嗅探不得不防。
