[发明专利]一种针对FTP数据包进行核查的方法

摘要

一种针对FTP数据包进行核查的方法，包括以下步骤：S1：通过抓包工具或方法对FTP数据包进行抓取和整理；S2：FTP登陆信息的解析；S3：FTP上传下载指令和数据解析；主要通过数据包监控和抓取方式，实现对网络中以FTP数据包形式传输的数据进行解析；能够对内网中的FTP登录凭证进行获取；能够精确获取到目标所访问的目录内容；能够精确获取到目标的所有远程文件操作；能够对目标上传以及下载的数据进行完整获取。

主权项

1.一种针对FTP数据包进行核查的方法，其特征在于包括以下步骤：S1：通过抓包工具或方法对FTP数据包进行抓取和整理；S2：FTP登陆信息的解析；S3：FTP上传下载指令和数据解析；S1的详细步骤如下：S1.1：使用Wireshark或任何其他抓包工具对发送和接受的数据包进行抓取；S1.2：根据端口过滤抓取到的数据包；将发送至外部21端口的数据包整理为发出的数据包集合；将接受自外部21端口的数据包整理为接收到的数据包集合；S1.3：将发出与接收到的数据包集合以一对一的方式进行数据逐条对应，作为待解析的FTP通信数据；S2的详细步骤如下：S2.1：账号获取；S2.1.1：对整理好的向外发送的数据包进行逐一对比，如果在数据区域发现“USER+空格(0x20)+用户名+0x0D 0x0A”的数据特征，则纪录0x20到0x0d 0x0a之间的数据作为用户名，并检查下一个对向发来的数据包内容；S2.1.2：若对向返回的数据包以“0x33 0x33 0x31 0x20”格式起始，且该数据包中包含上述记录的用户名，则可以确认用户名真实有效，否则丢弃该数据包，继续向下参照S2.1.1对比；S2.2：密码获取；S2.2.1：对本地计算机发出的下一数据包进行读取；找数据包中的“PASS+空格(0x20)+密码+0x0D 0x0A”特征；如果该数据包中数据内有符合该特征的数据，则记录则纪录0x20到0x0d 0x0a之间的数据作为密码，并检查下一个对向发来的数据包内容；S2.2.2：若对向返回的数据包的数据区域以“0x32 0x33 0x30”格式起始，则可以确认上述抓取到的用户名和密码真实有效；否则向下参照S2.2.2继续对比；S3的详细步骤如下：S3.1：文件上传指令和数据解析；S3.1.1：针对发向对方21端口的数据包进行解析，；如果数据包中的数据符合“PASV+0x0D 0x0A”特征，则进行S3.1.2，否则依照该特征继续解析下个包；S3.1.2：若对向返回的数据包数据区域为“0x32 0x32 0x37”至“0x28”至“0x29 0x0d 0x0a”形式，则取0x28到0x29区域的数据，记录为上传的连接信息，命名为conn_up_str；S3.1.3：解析连接信息，conn_up_str中设第五位int值为x，第六位为y，计算对方开启的上传端口为x＊256+y，纪录该值；S3.1.4：上传连接信息确认与传输文件名获取；文件上传的数据包中符合特征“STOR+空格+文件名+0x0D 0x0A”，则记录0x20到0x0d 0x0a之间的数据，并记录为待上传的文件名；S3.1.5：上传数据获取和解析；依据S3.1.3获得的ip地址和端口号，对数据包进行过滤，选取连续的、发向该ip该端口的数据；依据S1.3所描述的流程进行组织；将组织好的数据包，去除头描述部分，按字节写入文件，即可获得上传数据的具体内容；S3.2：文件下载指令和数据解析S3.2.1：获取连接信息获取连接信息是，数据包特征与S3.1.2所述完全一致；获取到的连接信息的处理流程与S3.1.3完全一致；S3.2.2：下载连接信息确认与传输文件名获取；发向对方21端口的数据符合“RETR+空格+文件名+0x0D 0x0A”特征，则记录0x20到0x0d 0x0a之间的数据，并记录为待下载的文件名；S3.2.3：下载数据获取和解析；根据S3.2.1解析到的连接信息，过滤并选取来自对方指定ip和端口的数据；依据步骤S1.3所描述的流程进行组织；将组织好的数据包，去除头描述部分，按字节写入文件，即可获得下载数据的具体内容。