5 Packet Sniffers เพื่อรวบรวมไฟล์ที่อัพโหลดหรือดาวน์โหลดจาก FTP Protocol

2018-03-15 20:28:13
หลัก·ซอฟต์แวร์·5 Packet Sniffers เพื่อรวบรวมไฟล์ที่อัพโหลดหรือดาวน์โหลดจาก FTP Protocol

โปรโตคอล FTP นั้นใช้เวลาค่อนข้างนานและยังคงใช้กันอยู่ในปัจจุบันเพื่ออัปโหลดไฟล์ไปยังเว็บเซิร์ฟเวอร์ FTP เป็นที่รู้จักกันดีว่าไม่ปลอดภัยเนื่องจากข้อมูลถูกถ่ายโอนในข้อความที่ชัดเจนซึ่งสามารถอ่านได้โดยตรงจากแพ็คเก็ตดมกลิ่น ซึ่งหมายความว่าข้อมูลการเข้าสู่ระบบ FTP ที่มีชื่อผู้ใช้และรหัสผ่านสามารถถูกดักจับโดยแพ็คเก็ตดมกลิ่นเมื่อซอฟต์แวร์ไคลเอนต์ FTP เริ่มการเชื่อมต่อกับเซิร์ฟเวอร์ FTP การเข้ารหัสสามารถใช้ใน FTP โดยใช้โปรโตคอล SFTP หรือ FTPS แทน FTP ที่ไม่ปลอดภัย

FTP ไม่เพียง แต่เปิดเผยข้อมูลการเข้าสู่ระบบในข้อความที่ชัดเจนไฟล์ที่ถูกถ่ายโอนระหว่างไคลเอนต์และเซิร์ฟเวอร์สามารถถูกดักจับและประกอบใหม่โดยแพ็คเก็ตดมกลิ่นเพื่อแสดงว่าไฟล์ใดบ้างที่ถูกอัพโหลดหรือดาวน์โหลดจากเซิร์ฟเวอร์ FTP สิ่งนี้มีประโยชน์สำหรับผู้ดูแลระบบในการตรวจจับการถ่ายโอนไฟล์ที่เป็นความลับของ บริษัท โดยไม่ได้รับอนุญาตในระหว่างการตรวจสอบการรับส่งข้อมูลเครือข่าย แต่ก็สามารถถูกทำร้ายได้เช่นกัน ที่นี่เราจะแสดงโปรแกรมดมกลิ่นแพ็คเก็ตฟรี 5 โปรแกรมที่มีความสามารถในการสร้างไฟล์ที่ถ่ายโอนผ่าน FTP ใหม่ 1. Intercepter-NG

Intercepter-NG เป็นชุดเครื่องมือเครือข่ายที่มีความสามารถในการสร้างไฟล์ที่ถ่ายโอนใหม่ในโปรโตคอล FTP นอกจาก FTP แล้วยังรองรับการสร้างไฟล์ใหม่จากโปรโตคอล HTTP \ IMAP \ POP3 \ SMTP \ SMB นอกเหนือจากการสร้างไฟล์ใหม่แล้ว Intercepter-NG สามารถดักข้อความแชทและรหัสผ่านแฮชจับแพ็คเก็ตดิบและทำการหาประโยชน์บางอย่างเช่น Heartbleed, SMB Hijack, HTTP Injection, ARP spoofing และอื่น ๆ

ในการเริ่มต้นดมกลิ่นแพ็คเก็ตเครือข่ายและสร้างไฟล์ที่ถ่ายโอนใน FTP ก่อนอื่นสิ่งสำคัญคือการเลือกอินเทอร์เฟซที่คุณจะใช้ในการดมกลิ่นโดยคลิกที่ไอคอนอะแดปเตอร์เครือข่ายที่อยู่ด้านบนซ้าย คลิกที่มันจะสลับระหว่าง Ethernet และ Wi-Fi จากนั้นคลิกเมนูแบบเลื่อนลงเพื่อเลือกอะแดปเตอร์ที่ใช้งานอยู่และตามด้วยการคลิกไอคอนเล่นเพื่อเริ่มการดมกลิ่น ไปที่ " โหมดการคืนชีพ " และไฟล์ที่สร้างใหม่จะแสดงรายการที่นั่น

ดาวน์โหลด Intercepter-NG


2. SoftPerfect Network Protocol Analyzer

SoftPerfect Network Protocol Analyzer เป็นแพ็คเก็ตดมกลิ่นฟรีสำหรับการวิเคราะห์และการดีบักการเชื่อมต่อเครือข่าย แม้ว่ามันจะไม่ได้มาพร้อมกับวิธีอัตโนมัติในการรวบรวมไฟล์ในแพ็คเก็ตอีกครั้ง แต่เราจะแสดงให้คุณเห็นว่าการสร้างไฟล์ขึ้นมาใหม่นั้นทำได้ง่ายเพียงไม่กี่ขั้นตอน ขั้นตอนแรกคือการเลือกอินเทอร์เฟซเครือข่ายที่ใช้งานอยู่ในปัจจุบันเพื่อดมกลิ่นแพ็คเก็ตและคลิกที่ปุ่มเริ่มการจับภาพ เมื่อคุณจับแพ็กเก็ตเสร็จแล้วให้คลิกที่ Capture ที่แถบเมนูและเลือก สร้าง TCP Sessions ใหม่ ซึ่งจะนำคุณไปยังแท็บ Data Flows

จดพอร์ตเซิร์ฟเวอร์และความยาวเซสชัน หากคุณเห็นพอร์ต 21 ตามด้วยขนาดความยาวเซสชันที่ใหญ่กว่าอาจเป็นไฟล์ที่กำลังถ่ายโอน เลือกการไหลของข้อมูลและคลิกที่ไอคอนบันทึกที่ด้านล่างซ้ายตามด้วยการเลือก "บันทึกเป็นข้อมูลดิบ" จากนั้นคุณสามารถใช้เครื่องมือใด ๆ ที่กล่าวถึงในบทความนี้เพื่อระบุประเภทของไฟล์ หรือหากไฟล์มีขนาดค่อนข้างเล็กคุณสามารถอัปโหลดไปยังตัวระบุไฟล์ TrID ออนไลน์เพื่อระบุรูปแบบของไฟล์

ผู้ใช้ขั้นสูงสามารถบอกได้ทันทีว่าสองสามไบต์แรกที่แสดง“ MZA” เป็นไฟล์ปฏิบัติการ

ดาวน์โหลด SoftPerfect Network Protocol Analyzer


3. NetworkMiner

NetworkMiner เป็นเครื่องมือวิเคราะห์ทางนิติเวชเครือข่ายที่ทรงพลังและใช้งานง่ายกว่าเมื่อเปรียบเทียบกับ WireShark การสร้างไฟล์ใหม่ทำงานได้ดีบนอะแดปเตอร์อีเธอร์เน็ต แต่การดักจับแบบไร้สายต้องใช้อะแดปเตอร์ AirPcap เพื่อให้ทำงานได้ดีที่สุดในขณะที่อะแดปเตอร์ไร้สายภายในจะล้มเหลวในการรวบรวมไฟล์ใด ๆ อย่างไรก็ตามคุณสมบัติอื่น ๆ เช่นการแตกข้อมูลรับรองการเข้าสู่ระบบจะยังคงใช้งานได้

ข้อดีอีกอย่างใน NetworkMiner ก็คือความสามารถในการแยกวิเคราะห์ไฟล์ PCAP ที่ส่งออกจากซอฟต์แวร์การจับแพ็คเก็ตอื่น ๆ เช่น WireShark และ tcpdump

ดาวน์โหลด NetworkMiner


4. Wireshark

แม้ว่า Wireshark ส่วนใหญ่จะใช้โดยผู้เชี่ยวชาญในการจับภาพและวิเคราะห์แพ็กเก็ตเพราะมันไม่ได้เป็นมิตรกับผู้ใช้เราพบว่ามันค่อนข้างง่ายในการค้นหาข้อมูล FTP ที่ส่งผ่านโดยใช้ฟังก์ชั่นการค้นหาตามกระแส TCP และบันทึกบทสนทนาทั้งหมด ไฟล์ดิบ

ที่แถบตัวกรองพิมพ์ ftp-data ลงในกล่องและกด Enter คลิกที่วิเคราะห์ที่แถบเมนูและเลือก“ ติดตามสตรีม TCP”

จดบันทึกสองสามไบต์แรกในเนื้อหาสตรีมซึ่งจะทำให้คุณมีความคิดเกี่ยวกับนามสกุลไฟล์ ตัวอย่างด้านล่างแสดง PK ซึ่งเป็นรูปแบบไฟล์ ZIP ในความเป็นจริงส่วนหัวของไฟล์ยังแสดงชื่อไฟล์ของไฟล์ zip ซึ่งก็คือ arpfreezeNG

หากต้องการสร้างไฟล์ขึ้นมาใหม่เพียงแค่เลือก Raw แล้วคลิกปุ่มบันทึกเป็น เนื่องจากนี่เป็นไฟล์ zip คุณควรบันทึกด้วยนามสกุล. ZIP และควรเป็น arpfreezeNG.zip หากคุณต้องการเก็บชื่อไฟล์ดั้งเดิมไว้

ดาวน์โหลด Wireshark


5. SmartSniff

SmartSniff เป็นแพ็คเก็ตดมกลิ่นฟรีที่สร้างขึ้นโดย Nirsoft และคุณสมบัติที่มีประโยชน์มากที่พบในเครื่องมือนี้คือความสามารถในการจับภาพโดยใช้ซ็อกเก็ตดิบและไม่มีไดรเวอร์ WinPcap บุคคลที่สาม อย่างไรก็ตามวิธีการซ็อกเก็ตดิบเป็นที่รู้จักกันไม่ได้ในทุกระบบเนื่องจาก Windows API หากคุณจับแพ็คเก็ตจำนวนมากอาจไม่ง่ายที่จะค้นหาข้อมูลแพ็คเก็ตที่มีไฟล์ที่ถ่ายโอน

ดังที่คุณเห็นจากภาพตัวอย่างข้างต้นไบต์สองสามตัวแรกที่แสดงที่บานหน้าต่างด้านล่างจะให้คำแนะนำว่าข้อมูลดิบเป็นไฟล์ที่เรียกใช้งานได้ กด Ctrl + E เพื่อส่งออกสตรีม TCP / IP และตรวจสอบให้แน่ใจว่าได้บันทึกเป็นประเภท“ ไฟล์ข้อมูลดิบ - ท้องถิ่น (* .dat)” เปลี่ยนชื่อนามสกุล. dat เป็น. exe และคุณจะได้รับไฟล์ที่สร้างใหม่

ดาวน์โหลด SmartSniff

ตัวเลือกของบรรณาธิการ