FTP連接與明文抓取

1、FTP連接與明文抓取應(yīng)用場(chǎng)景FTP ClinetFTP Server192.168.x.xx/24192實(shí)驗(yàn)?zāi)繕?biāo):掌握數(shù)據(jù)嗅探的原理了解協(xié)議封裝的過程掌握典型的嗅探工具的使用實(shí)驗(yàn)環(huán)境:虛擬機(jī)：Windows 2003 IIS6.0 , Wireshark 抓包軟件實(shí)驗(yàn)過程指導(dǎo)：?jiǎn)?dòng)虛擬機(jī)，并設(shè)置虛擬機(jī)的 IP地址，以虛擬機(jī)為目標(biāo)主機(jī)進(jìn)行攻防試驗(yàn)。個(gè)別實(shí)驗(yàn) 學(xué)生可以2 -3人一組的形式，攻擊方來做實(shí)驗(yàn)?？蛻舳藶閿?shù)據(jù)捕獲端。1 .設(shè)置抓包參數(shù)。運(yùn)彳f WireShark,界面如圖:在Capture菜單項(xiàng)中設(shè)置抓包的相關(guān)參數(shù)Capture |浮浮sti cs TelejCtrl+IX Q-pt 1

2、ons_ . .Ctrl+X 5t資tCtrl+E磁一Ctrl+E覦"atCtrl-tR Cflpturs E,ilt«rs.選才I Intefaces選項(xiàng)，對(duì)話框顯示可操作的網(wǎng)絡(luò)適配器:通過Options選項(xiàng)，設(shè)置如抓包模式、過濾器、數(shù)據(jù)包限制字節(jié)、存檔文件模式、停止規(guī)則、名字解析等參數(shù)。設(shè)置完畢，即可開始捕獲網(wǎng)絡(luò)數(shù)據(jù)包。2 .捕獲FTP數(shù)據(jù)包，嗅探密碼本步驟使用LeapFT痔生可自行使用其它ftp連接工具進(jìn)行實(shí)驗(yàn)。軟件訪問某 ftp站 點(diǎn)。四層網(wǎng)絡(luò)結(jié)構(gòu)，每層都有不同的功能，由不同的協(xié)議組成。設(shè)備驅(qū)動(dòng)程序及接口卡Ethernetll的幀結(jié)構(gòu)為目的 MAC地址+源MAC地址

3、+上層協(xié)議類型+數(shù)據(jù)字段+校驗(yàn)。下圖為WireShark顯示的協(xié)議解析，利用樹形結(jié)構(gòu)表示出來。122 24.10. 10. 3-EO 10, 1. J TP £awnl: PASS IEUeaL«± F-mmp 12? E戶3 byt mw on re, 6 5 hyt es： caprured市 E"t h er neT IT ? 5r c ! £ 1 i-tegr o_&l : 97 OO : 2 b rlLl :bl:Od:9?r 仃三 "t 二 " i s co _8 : df : c 4 1b0C : 14

4、 :12 : 86 ：1a irrcernet fTGtccol set; 15:1335。Q心工I3.5Q. kt: 1 %工,工博 dO，1l,浦)-lr : n5ilJ 55lf?n <Qn"a1 ProtCNQ, 5rc p = rt; "opf *iQ-*-55 1 13H3531 L'j 7 口七；色。(Zl) t 17, 土 r File Transfer proto col (ftp)第一行為 WireShark添加、該幀的相關(guān)統(tǒng)計(jì)信息。包括捕獲時(shí)間、編號(hào)、幀長(zhǎng)度、幀中所含有的協(xié)議等。細(xì)節(jié)如圖示:” pn. HHT£?S in. It

5、l. Iio Hi 1 i . SS FTP 生”打尸.七；PASSe FramE L221Cfl bytes on *1 re, 58 byres cipturedjArrival Time： uar 2, mi 171 j；8:2?,1645JOOOTias delta From preyiDus captured frame! 0000020000 seconrisjTlwe delta from previous dipl ay?d framei Q. OOMS.OOO ecnriisTiita sinca rafarince ar Hrst fruie: 20.83202000 sa

6、eundau th NleIjw ; 122Fdlru Length： S3 5I口匚ur口 Length: c3 Ly'CiFrame is neirkedi F&lseprotocols Hn fraws： erh; 1p：rcp：Tp_nlnrinrj pij 'n uf： tcp口“I眉 5trirq： TepEtHwrn-i; Et. 3廠匕工號(hào)"I七 jgreuJSL。6可=。？ C©b:?S : 12 :營(yíng)工 Od:97J . 13rllt: 弓等。0_36:df sxA 匚。Q:1dl:干N :&6:r 1 -itr- Fro

7、tacu , EV； W<O. 3 - ?0 (10. 10. 3 ,5 0) . Cjt :(10,1.1, 53)B Transmission Control PrutPCDlt M匚 Port; tojif low-ssl (M385), Est Port ： Ftp <?L), M«q: 17, t f-"1w Trsns-Fer protcicl (ftp)guMU口5 口0goDU (1 二 Fih ea db jo .u h Of 二H 60 IS &f Qf g 口口40 Od 8：'L”161 36ii &,O二 r 3

8、0 ? 057 3 B F. J L|_ FJ 3 Au Fl 口亡。 adQ Ob d a _c o D7 7. 丁w b6、 丁 d， f f Fl.E 一4二,，口，2 ,._ _ 1 . . L m |- d.n. . .at 弱 TRKP r'Sb.第二行為鏈路層信息，包括目的MAC地址、源MAC地址、上層協(xié)議類型。122 20. S82025 LO. jfi.3.50 10. L. 1.S4 ITFPASS lEtTeerB【回國(guó)用1 :? /胃口y-f in邛'1.仆hytM工N】t ircfj-hPr 1- d ： = i- = r.r n ；i|;.l。：&#

9、39; ；丁：沱"二產(chǎn)：，',飛一；”一懵；:一；f (.；- ：r- ; '''''(日 gMtinufi on : Ci 5cou日6:肝： 00：14:T2 :65： if :t4Jidde55 ： 口 51口_a大：竹：oil兀：2 :五二吊6：而：O4)Q - IC brit: ：n(Houal address Cur!casti，.o,.，.*- lG /七：Globally uMq ue addr ee$ (f-ictory default')i- soil"ca: E*1tearo_L !(?d!9Z1

10、11!我L1兇 ±9擰川。4良空：£1 itagr-_6i：od：L7 (og!25：L_：61d,f fc bit: rnd1 ad dr 點(diǎn)0 = LG Ht: Globally uirlquE address ("FacEcr daf aulType: P (flxfi 960)+ LHLtr kt1 oil .g1 ?二"：二 ClIC.MJO fl L. id. 3 5 0+i 5 nsi:二。.一二、5總(J1G. - 1. 5S'j+ f I'iMi-nl is. lun _or r'ol p-'olucoI

11、 , sr c -DEbi l l jpJlu-s 1 3S8 5") , 口匕上 FurL： f二口 (二】：* 士白q: 17, h 11 « Tr imfe nutdc二 1 (FTp )Onoe 0010M3C 0：4i,g 14 佇 9< e+ a OO 25 g 56 4A dn 40 8 HO 06 dl 三弓 bf ：二 8 15 B5 M由 fa fif 18 5F CC 00 50 41 72 Od OjD1550 0 16EAa，h± o Fl 7 cz m 111 o 3F 53 3 fl- -r jo匚白7 aLnA_Q- o b

12、4 ri- i efl a gE w T 干 5 f. nA-門占fl1 7 Ju 21 _K _4- s第三行為網(wǎng)絡(luò)層信息，如此處為IP協(xié)議。細(xì)節(jié)包括版本、頭部長(zhǎng)度、總長(zhǎng)度、標(biāo)志位源/目的IP地址、上層協(xié)議等。1223826 2 h LU. IV. J. hU 10. J. l.&B FTP K牛眄心 E: 135 5 lEUser«不間岡* Will白 122 f6S tl45 Ort Mr&. 65 L/C抬 cicur4-cTiI- EhfiFHC srci 口1 gg產(chǎn)LtllWBT 0«>值53 01&t口1)!97), DST!

13、dS<0_86Jdf !<J|(M)：M 療N!8J-i 匚 niF5 protocol» 5rc: 10,« 50DtL： 10»l.l. S3(1313科)weril on; 4Meadef lemgih: 2C b>tes D-iffErerTti ivec 造 zk" Field;2§CP QxCQ：efault: tCN； Q 工口口T0匚,ml LengtT： 54iriAnrlfiratnrT 口y尸aFh (；eoi 2 3 )廣 Fl.zgs: OxUZ 6口口 T Fia jnentFrgrrenr nf5

14、=?。?口丁5E千 ra 1128Protaccl : T二口 t；GxO6- HeadE-r chec> surri: Cfcf 76 cckit set Sources 10.IQ,350 10.IC.J, 50Destinaficni： 1D_1_H. SB (；LlD. 1. 1. 58J國(guó) rran鈿力5ion ConrEral ProtdcaI T 5rc Port: ropf-lowssl (383S), bsl Port i -Ftp (21), Eeq: 17Jl C t 1 ti T i- j i-iRTaF-ar- El r r-rf- rnr t-i 1 f E&

15、#39;TC- !i1X0GD10 ：D?0 CDSC; 一,I iJ00 g：L f s 了 if fi oi u4 o -d f o15 3 6 J-af 8d31,"'FUI11 fil Cd 37 CBF7 F 亡* g OS5 Mr - 1 0耳.一Tt。57' 0 235 o 3 f 5o 5. ,-4.第四行為傳輸層信息，包括源/目的端口、序列號(hào)、期望的下個(gè)序列號(hào)、確認(rèn)號(hào)、頭部長(zhǎng)度、標(biāo)志位、窗口長(zhǎng)度、校驗(yàn)和等。122 20. 882C25 ID. ID. X E0 10. 1_ 1.58 FTP Riurlr P居S IHU»rft工叵區(qū)t F

16、rjmm 122 tc9 tyne? 口門 /rc, 6K 門廣的 匚mpiur電力41 EI her fl tL 二 1. 5.rc： t.11 layr'. el: ud： &7 CQ0：2 5：iliCl：0d：97). DSl ： Cl5C0_56：df ：C4 00:14 ：fi ： 90：(出 internet protocol, sre; 10,10.3.30 Cto,ia,3,3Q dst: lc.i.1.38 Cio.1.1,33)u Transmission ccrrtrol protocol, 5r匚 port: ropfloissl Q885). dst

17、 pan: ftp (21), seq; 17, 3打ts port ： l叩FIlatC (5335)uts;Injtlor port:干叩 (21)St_adn nndsx; &5mqu*n匚e numbar l 17 C*Lati%G Eeq.imn匚e njmtrjHm*二 SEquna nuirter ; 31Ack nowl edgement nlit卜片二 401 lltdEP ength: 70 byts5 Flagt: dd.日PGIL ACK) wnndow ettb: 65135-chc-<5u'i: r二&g干口，才 1 idatiM t

18、EEQ/ACK analysis Jt Hie imqf戶“ Rrnrornl 仆空(_re I it'i'/i f 日寸kimn二。nunnG_i_(relAfius Ack nLnhe-iili s 鉆1 N0w OlLQ 9D2C UC30 0l4L£ Ji fe1二14 北 3d tf 4Cdf e40 jjOT 1?W JJ先 ea 諦 13 cdg網(wǎng)335- Q- fi 1 二J m當(dāng)9/ g bd第五行為應(yīng)用層信息，內(nèi)容由具體的應(yīng)用層協(xié)議決定，此處為 FTP協(xié)議，顯示的是響應(yīng) 內(nèi)容。- 1PS> PIL RK9KPR IM. 1IJ3.EH 111

19、. 1. KbH FTP Knqnrt: PASf； I El/ci"曾二| 亙區(qū)j, FF4唯 122 3 tylei jr ta Ire. 9 Lytei .dplured'ik tiher r：eL 工，si c: e" -tttr'u 61;g;g丁 (00;2S ; 11:61D5t;匚1久。&5;C=4 <0 J:14 j F2:06 :( Lrnernet F'fdt col. src ; 10 k 10,3. 5C (1J.1C. 3.50). He; IDkL.1. C1O.53I Tran,jit1ss-r ori

20、cirirolrscKul. =r-Q pof:二opf .4石si Cs&85jr m foci : f tf. £21).53；1，)File Trinsfar fpckogoI (ftp)p5 EEJsar t?rnREquLSL ccn-mnci: passRequest argi itusarca GCO 90 ccio QO2O M LQJQ fe l&49 7214 f2 3 3< x db M2 cr 2J # IE 3f 4C Od J31 7 d s 工 L- Flk7' dd 95 cb 4-IF.一 kc5聲g黑h5dCJ 34

21、Q 5 7 o 2J.LJ o 3f tj8 .>.u 5 c o c 4d * * % J. » » - A 通一二口一.2 一口A ii I LOSE(1) 連接建立客戶端運(yùn)行FTP,與即服務(wù)器建立連接3rtfWIctwiniSttpflow-ssl >ft客戶端為0 (本地)，目的服務(wù)器為8,發(fā)送連接建立請(qǐng)求。可觀察到:rr口匚oca】； u* lYNgj、chfrcLlsuN： Oxfr'a. corr««SCUT"： Ma 1軸 C1jOp1D-L!O>MitlrUtlM!

22、M.1.1.5S gmg)Tranwriisi-on Cantr?！縭rctccc 1. 5rc Fartw tcp+l>- s&ll (3SE5K ：CCT Fort ： ftp (21>. S*qe 0. L«ns Dscurce ports topfIga-sal 片&”gcrtl- PE ftp (-21)£trMJi *IN#t ：1節(jié)嚀qttwm znb«r : Q nal-itTiv«=下*anscm Emb*r)H3lugreh ! 2B foE«5門.！ M呢(SWO0 = Cong讓T5i kln

23、dw RnlKid (QfO】 Mert.Oil . ECN-EClW： HOT Mt=Urgant; Hot Xt>.i0 l x t. dicknoifildgeHit:. mdH： set 一 Q.-Push; tot 3七.一.力上 Resets Mot set.-】*4f $rt一一 r $ - Pm:廂t setrnndfa 7 sik*; <155 35-ch*ek±iAiz -O-Kddtft *1,31 liidjition d1 cabled* OpTiaM* C*TCP標(biāo)志位僅SYN置1,設(shè)置(相對(duì))序列號(hào)為 0 (此處的序列號(hào)并不是真正的數(shù)據(jù) 流字

24、節(jié)號(hào)，只表示在此次連接過程中的序號(hào))，請(qǐng)求與FTP服務(wù)器建立連接。本地的源端口號(hào)為3885,目的端口號(hào)為 21 (默認(rèn)的FTP服務(wù)端口)。等待確認(rèn)。服務(wù)器確認(rèn)請(qǐng)求Sec-1 tek=2 Fn=b4服務(wù)器ftp.: /8 （XXX. XXX. XXX.157收到請(qǐng)求數(shù)據(jù)包后，若同意請(qǐng)求，則向客戶端做出確認(rèn)應(yīng)答?？梢钥吹剑骸?，”： C*13 4 vz, ACKJ03Congcii ion 5nda Seductd e而：Not 1*t,.« . - ECH-Etho; Not ItlQ, 一， = Ui二 ，號(hào)工.I , . , = Ac fkrwDiv 1 edgsme

25、nt: Set,。. Pu shi i Hot q et一 .-i ，0, Rjestt: Nar set p - r i . J. - 15yli 1 5ct.,0 FWi： NOT UTwi ndoi- N"： &S5J5服務(wù)器的響應(yīng)報(bào)文中，ACK SYN標(biāo)志位置1,序列號(hào)為0 （理由同上），確認(rèn)號(hào)為1（是請(qǐng)求報(bào)文的相對(duì)序列號(hào)加 1）。相應(yīng)端口如圖顯示：源 21,目的2139。客戶端收到 確認(rèn)報(bào)文后，通知上層應(yīng)用進(jìn)程，連接已經(jīng)建立?？蛻舳讼蚍?wù)器確認(rèn)理煦郵見跖刖1U1M 1。喇如，怖帆 瓦 橄加而堀吸客戶端收到服務(wù)器的確認(rèn)后，向服務(wù)器給出確認(rèn)?？梢钥吹剑篢ran-'

26、;Hinisieri CE#Ytrfll PetChEdl. Src Pert: tEjplth-,-ail&st Port; Rtp (21>!>»qr 1 ( Mh : 117 , Ln Sours gm Bpfl5Tsl 儂力Cw st i nation pcirt; Ftp (21)【Etieqi IiiM.l 83«<ufnct numb* 1 (rvlalut hwbpgi nuvinr)acZrw，IVgiwnrr mmher: 1ST r«laln ad>. mMb4r)MenderZO .占4. . . 一 4&#

27、187; DnestiiOH tali inckoii ftedklCe J fff*)： INtt Mt 仇+ e ECN-Eeho： Not »t-Q* Ur()«rTt: utot m缸T P , 1 1 T= q=k no?Tdgt ：n . . . 0. . . PUlhl IWT KE * .Wot S«tl h .Qi Syn; Not 一- - PlH： MtH.inrctoj' rims; &SM9客戶端的確認(rèn)報(bào)文中，標(biāo)志位僅 ACK置1,相對(duì)序列號(hào)為1 （請(qǐng)求報(bào)文序列號(hào)加1）確認(rèn)號(hào)為1 （對(duì)服務(wù)器確認(rèn)報(bào)文相對(duì)序列號(hào)加1）。服務(wù)器

28、收到客戶端的確認(rèn)報(bào)文后，也通知其上層應(yīng)用進(jìn)程，連接已經(jīng)建立。至此，客戶端與服務(wù)器之間完成了 “三次握手”過程， 連接建立。通過 WireShark,我們能夠了解到數(shù)據(jù)包中的全部明文信息，而且 WireShark還能通過 序列號(hào)及確認(rèn)號(hào)做出分析，判斷該幀屬于連接過程中的哪一階段。（2）數(shù)據(jù)傳輸（此部分捕獲用戶名、密碼，為重點(diǎn)內(nèi)容）傳輸建立后，服務(wù)器的 FTP進(jìn)程做出響應(yīng)：5C7 -3.門二3；10,10,3,505TCP7 7749 LSYNJ S*q=C般】傳=5三科|的印143CSULJ臼ICa SOTCP277« >1S.VM+ ACK，總q-0->)

29、!»&EE5Q93107$. 21341110810. S. 50LO- La 九 sc10.1.1.SB loa-i.HTC.PFTP-spnrKir 口-w二：>AOL Stqvl Adk«L tflnMSSJ3 LA5U2 >4' 1 210 ? 5,： 245 .gdc31173 JllQnC10A.L,?8LC.1C.3.SDFTPi-eseufie150:表示 服務(wù)就緒”。后面為服務(wù)器返回的歡迎信息二瞥 1 11*3 kyt- on Mirw, 119 hyTf-i-E：tliem=t II , 5ft ;, 9 -： £1

30、 ： 6i ;(W;r DU; 1 te ki_QT ;6J. 22 :玄Qf ：石臼；=2)« bittrnet rotneoU Sri: KJ,1.1. 51 Cl配土.1.聒，ftst:T-jr-'ii ; : -i : ii：- c ; r ： : Ftp < 11. . '->： P?'t; uj-ng po, t *1) . 士七 口. *口二-Lui: 1L It.Fili tfsr(FTP)a«ii f daxa coaokiIon for /bln/1 >.Respond code; Flit status oka

31、y; about to open data <ormectton (isojKespnn5e arg; (ypening A5cri mdE datn Canutetiwi fflr bid. 1 5j服務(wù)器的響應(yīng)報(bào)文中 ACK PSH標(biāo)志位置1, PSH位置1表示服務(wù)器希望盡快得到客戶端的響應(yīng)?？蛻舳私邮盏酱藞?bào)文后會(huì)盡快將此報(bào)文交付應(yīng)用進(jìn)程，而不是等到緩存堆滿后交付。展開應(yīng)用層信息分支，我們能看到服務(wù)器的響應(yīng)報(bào)文內(nèi)容。響應(yīng)碼為150,響應(yīng)消息為 welcome to XXXX XXXX XXXXXX FTP serveF圖為響應(yīng)內(nèi)容的字節(jié)碼顯示oooc OO1C 002-0 003-0

32、 0040 005-0 OOG-QD8do46BO 2 o K- o f & d 2obo266o s o e o o d 4e64001672 _TO_SO5O33 _OTX-r32 67 c ao c 1 9 5 c44003466 O927b9 ef 63 6 c 4 G 2 Oo3fc3ee o o D f b 4 E 66 o 1 o r3 c2 o o 7 6 G0 0 10 5 6 65 10132-4。£ O 4 6 6 o aB 4 oof o 3 d b 2 2 2s 1 n 7 7 1 oQ Q 2 干 6 6 27 1 c a-e4 29 0do 6

33、7 7 d 9 o 9 1 f a o c o 6 6 &1B a a e 4 66 1 2 o 6 6 E1 3 J 8 0 o 19 10 6 2 2.a. . . .E. 國(guó)：一« Q « 4引可 心 d +./ISO Op ening AS Cl I mode dari co客戶端收到響應(yīng)報(bào)文后，完成后續(xù)操作:犯虬則工Li上修,ftp> rulHp4flsa 弛，MK的面M:乩的£55J5_鄴=0n征出用他通1加1mBTOP wlrip-m? ? ftp 胤口 國(guó)才 ftck4 *irH553I LeMT淞 ULJntJIM刪題酊 II卜即景

34、霸MHFJM副Ti版帆現(xiàn)本地FTP提示用戶輸入用戶名，報(bào)文內(nèi)容為向服務(wù)器發(fā)送用戶名請(qǐng)求11 $ 口>"，.> J， S r,d , 1/ E 卜，：.山、.口，”：* Ethsrnct 口. Ere: ElitBgno_Eil:0d:97 COD：5:11:61:0d:Det: RaaltdcjOf:G8:23 CDO：4Q:4c:0* internet Protocol, Sre: 10.1 1,50 (103-1.5BJ. Dsti 13,10.50 tlD.IO. Lj03-Trniissi nr- pint n- 1 Pmr：r11 ' 二卜-p.u f

35、fip CD. Osr Fmr i iIHr'-'ns 匚"彳刀，杷口： !,上一 Snijren p- pzr 千h1(?1 J Desrjn.atior xM； ih.j 國(guó)tani incex; 31 i；equ encp n：.nibei!】 (neliati'門;eqi; pn tp HLmbci左 lence unnber: 50Cnelatl yp sequence nmb»匚卜.口?！币蝗斩谌ǘ诙?pumiiET： 1CIiti da ickMender Ingth: 32 bytelr fTme： 0>L8 frSH ,

36、 M力VlrdoiM sirs: 65515* Ch(CkE urfl： 0a f !j '. - L'j j ' ddl: jf U 14 st> JJi Opti on j 12 Lyt cs)+ jEu/：!. ana 'ysi s-F-i 1 TPiMS 1 Jr(itiK0 1 (FTP；220 3e2*U FTF Servir W. For Wi nSoclc re icy. - rn-aspan(i6 二0亦 ml 二號(hào) rv 曾 fr nz ur-r ?2CQ1spnse mg: 5rv-l FTP server 如t 1 for (u1

37、nserk ffecI、.從上一步服務(wù)器的響應(yīng)報(bào)文中，我們能看到TCP傳送下一段數(shù)據(jù)流的首字節(jié)序號(hào)將為56。此時(shí)客戶端發(fā)送報(bào)文中的確認(rèn)序號(hào)為56,可見此幀即為上一幀的應(yīng)答。標(biāo)志位中，ACKPSH置1。圖中高亮顯示的SEQ/ACK analysis說明：客戶端FTP發(fā)送的內(nèi)容為用戶名請(qǐng)求。此時(shí)所用的用戶名為ssq。圖中標(biāo)黑粗下劃線所示。服務(wù)器收到后，對(duì)此請(qǐng)求給予確認(rèn)：Flags： OxiO (ACK>-congestion vindovr deduced (OR): Mot set .=ECN-Echoi Not set一 Urgent: Not sex+ . = Acknowcfgmen

38、t: set=FU;h： NQT set0., = fieset! Not set 0. s syn; Not s*t Q - Fin： NOT Xt window size: 64751 t Checksum; Oxbfldj Lvalidation disabled 'Options* (12 byte63 h SEQ/ACK analysis其中，標(biāo)志位 ACK置1。之后，服務(wù)器FTP返回應(yīng)答：wn.imn二九1明九的m+I.L抬TCPifptwar > J774fr 丫用xqf 研 nY牌好 呻3M 79-2121O,1.1.SS10.K1, i.tO*TCP斯將 >

39、; hpmna國(guó)¥工 陽(yáng)噸 AcX-l EXM用戶名正確，需要口令。下圖我們可以看到服務(wù)器詳細(xì)的響應(yīng)內(nèi)容a Fl ag s;0. 一Q * .0. 工0X13 1P5H. ACK5.=congest!or window Reduced (cwR): Net set=ECN'Echo: Not ser = urgnr: not st.= Acknonledgeinent: Set1 .=Push: Set= Reset: Not set0=Syn: Not set0 = Fin; not setWind。因二ize: 64742a checksum: CxfS36 vallda

40、fion disabled Options: (12 bytes)* SEQ/ACK analyslsFile Transfer Protocol (FTP口匚柳/rnRequest cormnand: CVuDRequest arg: /標(biāo)志位ACK PSH置1,響應(yīng)碼、響應(yīng)消息如圖客戶端收到交給本地 FTP處理，用戶鍵入口令，客戶端向服務(wù)器發(fā)送請(qǐng)求:AeqLMr't：1: USEPl*口 12 . L5(45©LU, SO10.1.1.»4： 口一心。9強(qiáng)U-jC 3.5010.J.1.5443 1金5LgT1rms8.皿工$044 12.LSL95B10.10

41、.3.50a.ma45 m交口M工&，口."+5 12-L5：5G：104C/3.50LO-Ja.544r1三一1£：出華而二 j/aJLO.ltl-5. 2+a 12. U471J通*010.Jr2,4, 12.L?+?«SlO.KJ.J. s2此 IC 3 a1注3/0力3起:_口31"|帛柱尸_口« 中心丫工f里里d ，3l4q3tL以上兩幀響應(yīng)客戶端的請(qǐng)求，表示用戶注冊(cè)完畢?，F(xiàn)在，客戶端已經(jīng)完全登錄到 FTP請(qǐng)求的內(nèi)容為口令 PASS消息、為guest,圖中標(biāo)黑粗下劃線所示。此時(shí), 用戶名、密碼均已嗅探得到了。服

42、務(wù)器針對(duì)客戶端的請(qǐng)求，發(fā)送了兩條響應(yīng)幀，圖中編號(hào)41、43:Request； P2 5 3Ml凡e$pun« 23G U帛logged in B procetd.B.eqjuest ： Opt 3 Ut3 £<Hespnsej SOI Tn.ml id option*flequeit; FMpP_espouse: 25 7 "f ' i s current- dir藝匚tpry.R.que4t.： TVPE AHips等由：20G Tpe sft to A.R.eqUr4C： PASV務(wù)器上，之后的幀為客戶端對(duì)服務(wù)器的一些訪問操作。(3)連接釋放客戶

43、端向服務(wù)器發(fā)送退出連接請(qǐng)求:* Tr*psm1 asler Com. r.al proto-csl, 5u 立。一工: 2LJ：二勺Ostftp，工).S邙 552% a ：k ； J13 7, Ler: GSpurge por?L3* (工2”)Dtsclr.ditlcjn port: Fp Ui)5tqience nuroe;fwqjeiK；q ruin口香.ne>T seqen：e 辦即： 55m 加用，甘 suenctAck rem 1 edneiTTnir urher;: 3137 (relaTive ack n uniter)neacer lenqh: ?J syresj F

44、'acs: 018 (psh, ack)0+.+ +-+ - CB-ig5it 1 en window由自由士且日 £。春：1；科白亡 弓自七-G. _ - ECM：-x：chc ： tiCIt 5Ct一. tt-t - LtTj-eT Hat. 1 .*.， JkCkrsw' effgrr ent: Set十4 + 1* - + h £ £««. - ese-: i+Gt sex明.事 Hnt set立.1all3 . Flh；林uE lit*nco> ： 的0:Checkimti： 0iaB3r7 corrtct. F

45、ile Tran肝史Prut icil (FTF) QurirnReqiesr corm ini: quit應(yīng)用進(jìn)程的請(qǐng)求命令為QUIT。實(shí)際操作是在LeapFTP菜單欄上選擇“斷開連接”。服務(wù)器收到后響應(yīng)：；ttfefI-WQih EEmtrol P.t仁£11 sre 1a<377P+市 口21 Ewtixt : 21Mq 口工打1 #，光 上口 "凱！_:工。5oirs port: ftp C21.1 1g pert ： 2139 (2139)MMCiKc TMmXr.二 113 /('r«- 4<.iwr'luninsr jMw

46、T -4 #cjuwn*: w 辦r; TLF士CrpBl -al: 4v> 4#qiJ-Qr-d * rqj?f4>bjACt nawledgement 勺加Ije: S5B Creli*1vfi whK nurberl'en4tr: Nd« Fligs： 0>xlHE I F5s ACIJ口. > r q . C I len p-1 thJetw Re-dkjed Cw<<) = Mot 3.cL ,On. » . . PT*l-cho- Nrr (L < Ugerit . hcit set 1 4* A krrjv t

47、riTifnt! set i電.卜 lais- Fkrt； 31 _ _ _ _ O. _ - 6sect : Hex carP _ r, r r Qt -即n 二 kdt 5Elr, b- Flfi： smliTfliaw sin烏：力劑u號(hào)hea：5* 6s «i, rc-t rFlQj wr wpy!”】1Ie a ack七n tl且 下艮工且nt In "aBg； 2aBiThe iti tc 由thr* ssgte-riL :明時(shí)用三管電口0 seeondted ri- 11 «Jnir M«jiu3i#心tMJtfcyw.espanrse c

48、cde: Serv-fca cl osl nq comrcl -ccwmect ipr £2ili 通性工況但已a(bǔ)rgs ecjodiye.221表示服務(wù)器關(guān)閉連接，返回消息 Goodbye?，F(xiàn)在，客戶端與服務(wù)器已經(jīng)斷開了FTP連接。接下來要結(jié)束此次TCP傳輸連接。服務(wù)器在對(duì)客戶端FTP斷開連接請(qǐng)求作出響應(yīng)后，向客戶端發(fā)送TCP連接釋放應(yīng)答： Trarmlsdun 8MpthkcH. src Ports frp 1). mi pott: 2139(2130« s«q: 3111 T: 538V nn: D> 與 our% port: ftp EH-vT ?rjfct ! nr port r 211t< C?1