بروتوكول FTP موجود منذ فترة طويلة ولا يزال يُستخدم بشكل شائع اليوم لتحميل الملفات إلى خوادم الويب. من المعروف جيدًا أن FTP غير آمن لأن البيانات يتم نقلها بنص واضح يمكن قراءته مباشرة من الشم. وهذا يعني أن معلومات تسجيل الدخول إلى FTP التي تحتوي على اسم المستخدم وكلمة المرور يمكن التقاطها بواسطة حزمة الشم عندما يبدأ برنامج عميل FTP في الاتصال بخادم FTP. يمكن استخدام التشفير في FTP إما باستخدام بروتوكول SFTP أو FTPS بدلاً من بروتوكول FTP غير الآمن.
لا يكشف FTP عن معلومات تسجيل الدخول بنص واضح فحسب ، بل يمكن اعتراض الملفات المنقولة بين العميل والخادم وإعادة تجميعها بواسطة حزمة الشم لإظهار الملفات التي يتم تحميلها أو تنزيلها من خادم FTP. هذا مفيد للمسؤولين للكشف عن النقل غير المصرح به للملفات السرية للشركة أثناء تدقيق حركة مرور الشبكة ولكن يمكن أيضًا إساءة استخدامه. سنعرض لك هنا 5 برامج مجانية لاستكشاف الحزم يمكنها إعادة بناء الملفات التي يتم نقلها عبر FTP. 1. Intercepter-NG
Intercepter-NG هي مجموعة أدوات شبكة لديها القدرة على إعادة بناء الملفات المنقولة في بروتوكول FTP. بخلاف FTP ، يدعم أيضًا إعادة بناء الملفات من بروتوكول HTTP \ IMAP \ POP3 \ SMTP \ SMB. بخلاف إعادة بناء الملفات ، فإن Intercepter-NG قادر على استنشاق رسائل الدردشة وتجزئة كلمات المرور ، والتقاط الحزم الأولية ، وتنفيذ بعض الاستغلال مثل Heartbleed ، SMB Hijack ، HTTP Injection ، ARP spoofing وغيرها.
لبدء استنشاق حزم الشبكة وإعادة إنشاء الملفات التي تم نقلها في FTP ، من المهم أولاً تحديد الواجهة التي ستستخدمها للتعرف عليها بالنقر فوق رمز محول الشبكة الموجود في أعلى اليسار. سيؤدي النقر عليه إلى التبديل بين Ethernet و Wi-Fi. ثم انقر فوق القائمة المنسدلة لتحديد المحول النشط متبوعًا بالنقر فوق رمز التشغيل لبدء الشم. انتقل إلى " وضع القيامة " وسيتم إدراج الملفات المعاد إنشاؤها هناك.
تنزيل Intercepter-NG
2. محلل بروتوكول الشبكة SoftPerfect
يعد SoftPerfect Network Protocol Analyzer عبارة عن حزمة مجانية من الشم لتحليل وتصحيح اتصالات الشبكة. على الرغم من أنها لا تأتي مع طريقة تلقائية لإعادة تجميع الملفات في الحزم ، إلا أننا سنوضح لك مدى سهولة إعادة إنشائها ببضع خطوات. الخطوة الأولى هي تحديد واجهة الشبكة المستخدمة حاليًا للتعرف على الحزم والنقر على زر بدء الالتقاط. عند الانتهاء من التقاط الحزم ، انقر فوق "التقاط" في القائمة وحدد " إعادة إنشاء جلسات TCP" التي ستنقلك إلى علامة التبويب "تدفقات البيانات".
لاحظ منفذ الخادم وطول الجلسة. إذا رأيت منفذ 21 متبوعًا بحجم أكبر من طول الجلسة ، فمن المحتمل أنه يتم نقل ملف. حدد تدفق البيانات وانقر على أيقونة الحفظ الموجودة في أسفل اليسار ، متبوعًا بتحديد "حفظ كبيانات أولية". يمكنك بعد ذلك استخدام أي من الأدوات المذكورة في هذه المقالة لتحديد نوع الملف. بدلاً من ذلك ، إذا كان الملف صغيرًا نسبيًا ، يمكنك تحميله إلى معرف ملف TrID عبر الإنترنت لتحديد تنسيق الملف.
يمكن للمستخدم المتقدم أن يخبر على الفور أن البايتات القليلة الأولى التي تظهر “MZA” هي ملف قابل للتنفيذ.
قم بتنزيل SoftPerfect Network Protocol Analyzer
3. NetworkMiner
NetworkMiner هو في الواقع أداة تحليل الطب الشرعي قوية جدًا للشبكة وأكثر سهولة في الاستخدام مقارنةً بـ WireShark. تعمل إعادة بناء الملف بشكل جيد على محول Ethernet ولكن الالتقاط اللاسلكي يتطلب محول AirPcap للعمل بشكل أفضل بينما ستفشل المحولات اللاسلكية الداخلية في إعادة تجميع أي ملف من حزمة تم التقاطها. ومع ذلك ، ستظل الميزات الأخرى مثل استخراج بيانات اعتماد تسجيل الدخول تعمل.
ميزة أخرى في NetworkMiner هي القدرة على تحليل ملفات PCAP المصدرة من برامج التقاط حزم أخرى مثل WireShark و tcpdump.
تنزيل NetworkMiner
4. Wireshark
على الرغم من استخدام Wireshark في الغالب من قبل المحترفين لالتقاط الحزم وتحليلها لأنها ليست سهلة الاستخدام للغاية ، إلا أننا نجد أنه من السهل جدًا العثور على البيانات المرسلة عبر FTP باستخدام وظيفة البحث ، واتباع دفق TCP ، وأخيرًا حفظ المحادثة بأكملها ملف خام.
في شريط التصفية ، اكتب بيانات ftp في المربع واضغط على Enter. انقر فوق "تحليل" في شريط القوائم وحدد "متابعة تيار TCP".
انتبه إلى وحدات البايت القليلة الأولى في محتوى الدفق التي ستمنحك فكرة عن امتداد الملف. يوضح المثال أدناه PK وهو تنسيق ملف ZIP. في الواقع ، يظهر رأس الملف أيضًا اسم ملف الملف المضغوط وهو arpfreezeNG.
لإعادة إنشاء الملف ، ما عليك سوى تحديد Raw والنقر فوق الزر Save As. نظرًا لأن هذا ملف مضغوط ، يجب حفظه بامتداد .ZIP ويفضل أن يكون arpfreezeNG.zip إذا كنت ترغب في الاحتفاظ باسم الملف الأصلي.
تنزيل Wireshark
5. SmartSniff
SmartSniff عبارة عن حزمة برامج مجانية تم إنشاؤها بواسطة Nirsoft وميزة مفيدة جدًا موجودة في هذه الأداة هي القدرة على الالتقاط باستخدام مآخذ التوصيل الخام وبدون برنامج تشغيل WinPcap من جهة خارجية. ومع ذلك ، من المعروف أن طريقة المقابس الأولية لا تعمل على جميع الأنظمة بسبب واجهة برمجة تطبيقات Windows. إذا كنت قد التقطت الكثير من الحزم ، فقد لا يكون من السهل البحث عن بيانات الحزم التي تحتوي على الملفات المنقولة.
كما ترى من لقطة الشاشة أعلاه ، تعطيك البايتات القليلة الأولى الموضحة في الجزء السفلي تلميحًا بأن البيانات الأولية هي ملف قابل للتنفيذ. اضغط على Ctrl + E لتصدير تدفقات TCP / IP وتأكد من حفظها كنوع "Raw Data Files - Local (* .dat)". إعادة تسمية ملحق .dat إلى .exe وستحصل على الملف المعاد بناؤه.
تنزيل SmartSniff
