SERV-U是一款很普及的FTP工具，利用其搭建FTP服務(wù)器非常簡(jiǎn)單。但是默認(rèn)配置下SERV-U用21端口提供FTP服務(wù)，并且數(shù)據(jù)沒(méi)有進(jìn)行任何的加密是明文傳遞。因此，一個(gè)惡意用戶可以通過(guò)sniffer工具獲取FTP用戶的帳戶和密碼。下面，我們部署環(huán)境進(jìn)行SERV-U的Sniffer測(cè)試。

一、SERV-U的Sniffer測(cè)試

1、測(cè)試環(huán)境：

A、B同一子網(wǎng)的兩臺(tái)計(jì)算機(jī)，B是員工計(jì)算機(jī)，一名員工通過(guò)其訪問(wèn)公司的FTP服務(wù)器。A是我們安裝了sniffer的計(jì)算機(jī)，其目的是嗅探使用B計(jì)算機(jī)訪問(wèn)FTP服務(wù)器的員工的帳戶和密碼。

2、測(cè)試過(guò)程：

(1).在A計(jì)算機(jī)上安裝sniffer嗅探工具，并啟動(dòng)該程序。在sniffer軟件中通過(guò)上方的“matrix”(矩陣)按鈕啟動(dòng)監(jiān)測(cè)界面，打開(kāi)監(jiān)測(cè)界面后我們就可以開(kāi)始監(jiān)測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)包了。通過(guò)菜單欄的“capture(捕獲)→start(開(kāi)始)”啟動(dòng)。在檢測(cè)數(shù)據(jù)包窗口中我們點(diǎn)左下角的objects(對(duì)象)標(biāo)簽，然后選擇station(狀態(tài))，這樣將把當(dāng)前網(wǎng)絡(luò)中所有通信都顯示在窗口中。(圖1)

    
(2).這時(shí)候我們通知B計(jì)算機(jī)的員工使用電腦登錄了FTP服務(wù)器，那么我們?cè)趕niffer中點(diǎn)菜單的“capture(捕獲)→stop and display(停止并顯示)”。這里假設(shè)我們FTP服務(wù)器的IP地址為192.168.1.20，那么我們從顯示的地址列表中找到關(guān)于192.168.1.20這個(gè)IP的數(shù)據(jù)包，然后點(diǎn)下方的“DECODE(反解碼)”按鈕進(jìn)行數(shù)據(jù)包再分析。(圖2)

    
(3).在“DECODE”(反編碼)界面中我們就可以對(duì)關(guān)于192.168.1.20的所有數(shù)據(jù)包進(jìn)行分析了。我們一個(gè)一個(gè)的分析數(shù)據(jù)包，分析到大概第十九個(gè)數(shù)據(jù)包時(shí)出現(xiàn)用戶名信息，我們可以從界面中看到用戶名為lw。繼續(xù)往下看，到了第二十一個(gè)數(shù)據(jù)包的時(shí)候就可以看到密碼了，密碼以明文的形式顯示在sniffer中，密碼為test168。(圖3)

    
至此，我們通過(guò)sniffer工具獲取了該員工登錄FTP服務(wù)器的帳戶和密碼。依據(jù)筆者的經(jīng)驗(yàn)，攻擊者在獲取了服務(wù)器的控制權(quán)之后，往往會(huì)安裝相應(yīng)的嗅探工具，進(jìn)而獲取更多的敏感信息，因此，嗅探不得不防。

二、SERV-U的Sniffer防范

其實(shí)，SERV-U本身就提供了防嗅探功能，只不過(guò)大多數(shù)用戶沒(méi)有開(kāi)啟罷了。該功能就是SSL加密，在SSL中，采用了公開(kāi)密鑰和私有密鑰兩種加密方法。所以使用SS后就可以保證網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)不被非法用戶竊取到了。

1、創(chuàng)建SSL證書(shū)

要想使用Serv-U的SSL功能，需要SSL證書(shū)的支持才行。雖然Serv-U在安裝之時(shí)就已經(jīng)自動(dòng)生成了一個(gè)SSL證書(shū)，但這個(gè)默認(rèn)生成的SSL證書(shū)在所有的Serv-U服務(wù)器中都是一樣的，非常不安全，所以我們需要手工創(chuàng)建一個(gè)自己獨(dú)特的SSL證書(shū)。

在“Serv-U管理員”窗口中，展開(kāi)“本地服務(wù)器→設(shè)置”選項(xiàng)，然后切換到“SSL證書(shū)”標(biāo)簽頁(yè)，創(chuàng)建一個(gè)新的SSL證書(shū)。首先在“普通名稱”欄中輸入FTP服務(wù)器的IP地址，接著其它欄目的內(nèi)容，如電子郵件、組織和單位等，根據(jù)用戶的情況進(jìn)行填寫(xiě)。完成SSL證書(shū)標(biāo)簽頁(yè)中所有內(nèi)容的填寫(xiě)后，點(diǎn)擊下方的“應(yīng)用”按鈕即可，這時(shí)Serv-U就會(huì)生成一個(gè)新的SSL證書(shū)。(圖4)

    
2、啟用SSL功能

雖然為Serv-U服務(wù)器創(chuàng)建了新的SSL證書(shū)，但默認(rèn)情況下，Serv-U是沒(méi)有啟用SSL功能的，要想利用該SSL證書(shū)，首先要啟用Serv-U的SSL功能才行。

要啟用Serv-U服務(wù)器中域名為“ftp”的SSL功能。在“Serv-U管理員”窗口中，依次展開(kāi)“本地服務(wù)器→域→ftp”選項(xiàng)。在右側(cè)的“域”管理框中找到“安全性”下拉列表選項(xiàng)。這里Serv-U提供了3個(gè)選項(xiàng)，分別是“僅僅規(guī)則FTP，無(wú)SSL/TLS進(jìn)程”、“允許SSL/TLS和規(guī)則進(jìn)程”、“只允許SSL/TLS進(jìn)程”，默認(rèn)情況下，Serv-U使用的是“僅僅規(guī)則FTP，無(wú)SSL/TLS進(jìn)程”，因此是沒(méi)有啟用SSL加密功能的。在“安全性”下拉選項(xiàng)框種選擇“只允許SSL/TLS進(jìn)程”選項(xiàng)，然后點(diǎn)擊“應(yīng)用”按鈕，即可啟用softer域的SSL功能。(圖5)

    
需要說(shuō)明的是，啟用了SSL功能后，Serv-U服務(wù)器使用的默認(rèn)端口號(hào)就不再是“21”了，而是“990”了，這點(diǎn)在登錄FTP的時(shí)候一定要留意，否則就會(huì)無(wú)法成功連接FTP服務(wù)器。

3、使用SSL加密連接FTP

啟用Serv-U服務(wù)器的SSL功能后，就可以利用此功能安全傳輸數(shù)據(jù)了，但FTP客戶端程序必須支持SSL功能才行。如果我們直接使用IE瀏覽器進(jìn)行登錄則會(huì)出現(xiàn)圖6顯示的錯(cuò)誤信息，一方面是以為沒(méi)有修改默認(rèn)的端口21為990，另外IE瀏覽器不支持SSL協(xié)議傳輸。(圖6)

    
當(dāng)然支持SSL的FTP客戶端程序現(xiàn)在也比較多，筆者以“Flash FXP”程序?yàn)槔?，介紹如何成功連接到啟用了SSL功能的Serv-U服務(wù)器。

運(yùn)行“FlashFXP”程序后，點(diǎn)擊“會(huì)話→快速連接”選項(xiàng)，彈出“快速連接”對(duì)話框，在“服務(wù)器或URL”欄中輸入Serv-U服務(wù)器的IP地址，在“端口”欄中一定要輸入“990”，這是因?yàn)镾erv-U服務(wù)器啟用SSL功能后，端口號(hào)就從“21”變?yōu)椤?90”。(圖7)

    
然后輸入可以正常登錄FTP服務(wù)器的“用戶名”和“密碼”，切換到“SSL”標(biāo)簽頁(yè)，選中“絕對(duì)SSL”選項(xiàng)，這一步驟是非常關(guān)鍵的，如果不選中“絕對(duì)SSL”，就無(wú)法成功連接到Serv-U服務(wù)器。最后點(diǎn)擊“連接”按鈕。 根據(jù)實(shí)際傳輸情況在絕對(duì)SSL下方的四個(gè)選項(xiàng)進(jìn)行選擇即可。(圖8)

    
當(dāng)用戶第一次連接到Serv-U服務(wù)器時(shí)，F(xiàn)lash FXP會(huì)彈出一個(gè)“證書(shū)”對(duì)話框如圖9，這時(shí)用戶只要點(diǎn)擊“接受并保存”按鈕，將SSL證書(shū)下載到本地后，就能成功連接到Serv-U服務(wù)器，以后和Serv-U服務(wù)器間的數(shù)據(jù)傳送就會(huì)受到SSL功能的保護(hù)，不再是以明文形式傳送，這樣就不用再擔(dān)心FTP賬號(hào)被盜，敏感信息被竊取的問(wèn)題了。在Flash FXP的下方我們也會(huì)看到一個(gè)小鎖的標(biāo)志了，他代表當(dāng)前傳輸是加密安全的傳輸。(圖9)

    
總結(jié)：局域網(wǎng)的特性，使得其成了Sniffer的溫床。其實(shí)除了FTP之外，像Telnet、遠(yuǎn)程桌面、http等其數(shù)據(jù)都是明文傳遞，防范嗅探除了提高安全意識(shí)之外，選擇更安全的工具也是有必要的。

【編輯推薦】

1. 隔窗有耳局域網(wǎng)防監(jiān)聽(tīng)(
2. 解析Serv-U漏洞防患于未然