[发明专利]一种针对FTP数据包进行核查的方法

权利要求书

1.一种针对FTP数据包进行核查的方法，其特征在于包括以下步骤：

S1：通过抓包工具或方法对FTP数据包进行抓取和整理；

S2：FTP登陆信息的解析；

S3：FTP上传下载指令和数据解析；

S1的详细步骤如下：

S1.1：使用Wireshark或任何其他抓包工具对发送和接受的数据包进行抓取；

S1.2：根据端口过滤抓取到的数据包；将发送至外部21端口的数据包整理为发出的数据包集合；将接受自外部21端口的数据包整理为接收到的数据包集合；

S1.3：将发出与接收到的数据包集合以一对一的方式进行数据逐条对应，作为待解析的FTP通信数据；

S2的详细步骤如下：

S2.1：账号获取；

S2.1.1：对整理好的向外发送的数据包进行逐一对比，如果在数据区域发现“USER+空格(0x20)+用户名+0x0D 0x0A”的数据特征，则纪录0x20到0x0d 0x0a之间的数据作为用户名，并检查下一个对向发来的数据包内容；

S2.1.2：若对向返回的数据包以“0x33 0x33 0x31 0x20”格式起始，且该数据包中包含上述记录的用户名，则可以确认用户名真实有效，否则丢弃该数据包，继续向下参照S2.1.1对比；

S2.2：密码获取；

S2.2.1：对本地计算机发出的下一数据包进行读取；找数据包中的“PASS+空格(0x20)+密码+0x0D 0x0A”特征；如果该数据包中数据内有符合该特征的数据，则记录则纪录0x20到0x0d 0x0a之间的数据作为密码，并检查下一个对向发来的数据包内容；

S2.2.2：若对向返回的数据包的数据区域以“0x32 0x33 0x30”格式起始，则可以确认上述抓取到的用户名和密码真实有效；否则向下参照S2.2.2继续对比；

S3的详细步骤如下：

S3.1：文件上传指令和数据解析；

S3.1.1：针对发向对方21端口的数据包进行解析，；如果数据包中的数据符合“PASV+0x0D 0x0A”特征，则进行S3.1.2，否则依照该特征继续解析下个包；

S3.1.2：若对向返回的数据包数据区域为“0x32 0x32 0x37”至“0x28”至“0x29 0x0d0x0a”形式，则取0x28到0x29区域的数据，记录为上传的连接信息，命名为conn_up_str；

S3.1.3：解析连接信息，conn_up_str中设第五位int值为x，第六位为y，计算对方开启的上传端口为x＊256+y，纪录该值；

S3.1.4：上传连接信息确认与传输文件名获取；文件上传的数据包中符合特征“STOR+空格+文件名+0x0D 0x0A”，则记录0x20到0x0d 0x0a之间的数据，并记录为待上传的文件名；

S3.1.5：上传数据获取和解析；

依据S3.1.3获得的ip地址和端口号，对数据包进行过滤，选取连续的、发向该ip该端口的数据；

依据S1.3所描述的流程进行组织；将组织好的数据包，去除头描述部分，按字节写入文件，即可获得上传数据的具体内容；

S3.2：文件下载指令和数据解析

S3.2.1：获取连接信息

获取连接信息是，数据包特征与S3.1.2所述完全一致；获取到的连接信息的处理流程与S3.1.3完全一致；

S3.2.2：下载连接信息确认与传输文件名获取；

发向对方21端口的数据符合“RETR+空格+文件名+0x0D 0x0A”特征，则记录0x20到0x0d0x0a之间的数据，并记录为待下载的文件名；

S3.2.3：下载数据获取和解析；

根据S3.2.1解析到的连接信息，过滤并选取来自对方指定ip和端口的数据；

依据步骤S1.3所描述的流程进行组织；将组织好的数据包，去除头描述部分，按字节写入文件，即可获得下载数据的具体内容。