[Wireshark / 와이어샤크] FTP 패킷 캡쳐 및 파일 복구

FTP 로그인 

FTP 는 별도의 암호화를 지원하지 않으므로 로그인 정보를 평문으로 확인할 수 있다.

 

 

SYN 연결 과정을 거친 후에, FTP 서비스를 사용한 사용자의 로그인 정보가 평문으로 나타나는 것을 확인할 수 있다.

 

FTP 전송 파일 추출

ftp-data 명령어로 필터링하면, FTP 서비스를 통해 주고받은 파일들을 확인할 수 있다.

 

 

파일명 앞의 RETR 키워드는 Server 에서 Client 로 파일을 보내줄 것을 요청한다는 의미이다. (Server -> Client 전송)

 

파일명 앞의 STOR 키워드는 Client 에서 Server 로 파일을 보낼 것을 알리는 의미이다. (Client -> Server 전송)

 

 

hack.zip 파일을 추출하기 위해 마우스 오른쪽 클릭 -> 따라가기 -> TCP 스트림을 누르면 ASCII 코드가 나타난다.

 

 

ASCII 코드 형식을 RAW 형식으로 변경한 후, 파일을 다른 이름으로 저장한다.

 

 

RAW 형식으로 저장된 파일을 .zip 파일로 확장자를 변경하면, 해당 압축 폴더 내의 내용들을 확인할 수 있다.

 

 

 

공부하면서 정리한 내용을 글로 작성하였습니다.

혹시나 잘못된 내용이 있다면 댓글로 알려주시면 감사하겠습니다 :)