FTP 프로토콜 패킷 분석 실습

1. FTP 프로토콜이란?

- 파일 전송 프로토콜

- TCP/IP 프로토콜을 가지고 서버와 클라이언트 사이의 파일 전송을 하기 위한 프로토콜

- 응용계층에 속함

- 제어용으로 21번 포트, 데이터 전송용으로 20번 포트 주로 사용

2. FTP 프로토콜 패킷 분석 실습

그림 1-1 FTP 통신 패킷

#2 ftp.pcap 파일을 열고 ftp를 입력해 패킷을 필터링 한다. 필터링 된 패킷 중에서 TCP Stream을 실행시켜 자세한 패킷 정보를 확인한다. 패킷 정보를 분석해보면 User, password 정보를 확인할 수 있고 성공적으로 로그인 되었다는 것을 확인할 수 있다. 현재 열린 포트 정보를 알려주고 어떤 포트를 열지 물어보고 있다. 원하는 포트를 열고 LIST 시스템 함수를 이용해 목록을 보고 있다. 그 안에서 TYPE 1을 요청하고 어떤 포트를 열지 물어보고 있다. 원하는 포트가 열리고 Sysmon64.exe 파일이 저장되어 있음을 볼 수 있다. 그리고 또 다른 포트를 열고 telnet.pcapng라는 파일을 저장한 후 종료하고 있다.

그림 1-2 ftp-data 패킷

ftp-data를 입력하고 패킷을 필터링한다. ftp-data는 TCP Stream을 할 시 정보들이 깨져서 나오기 때문에 아주 자세한 정보는 확인이 불가능하다. 현재 그림 1-2에는 Sysmon.exe 파일이 있음을 확인 가능하다.

그림 1-3 ftp.request.command==RETR 

ftp.request.command==RETR를 입력해 패킷을 필터링하면 그림 1-3과 같이 FTP 서버에서 파일을 가져올 수 있다. RETR이 서버에서 파일을 가져오는 명령어다. 이 패킷에서 TCP Stream 정보에서 Save as...를 실행해 데이터를 복원한다.

그림 1-4 데이터 복원 결과

Save as...를 실행해 데이터를 복원한 결과 인덱스가 211번 정보로 파악했다. 파악 후 ftp-data 필터를 하면 216번 정보가 나온다. 216번 정보에서 Sysmon64.exe를 다운 받은 패킷을 찾을 수 있다.

그림 1-5 216번 정보 TCP Stream

216번 정보 TCP Stream 결과다. ftp-data 정보기 때문에 어떤 정보인지는 알 수 없다. TCP Stream 정보 창에서 Save as..를 실행해 데이터를 복원한다. 복원시 파일 이름은 Sysmon64.exe로 한다.

그림 1-6 파일 복원 결과

Sysmon64.exe 파일 복원 결과다. 데이터를 복원해 외부에 유출된 파일을 확인할 수 있다.