วิเคราะห์การใช้งานของ RSH,RLOGIN,RCP
วิเคราะห์การใช้งานของ RSH,RLOGIN,RCP
Rlogin, RSH, และ RCP จะเป็น protocol เก่าที่ใช้ในการสั่งการเครื่องจากระยะไกล ซึ่งคล้ายๆกับ telnet โดยการทำงานของทั้ง 3 protocol โดยปกติแล้วจะทำงานในลักษณะแบบ stream กล่าวคือเป็นการส่ง packet กันอย่างต่อเนื่อง แต่ไม่มีการเข้ารหัสใดๆ โดยแต่ละ protocol ทำงานแตกต่างกันดังนี้
Rlogin
เป็น protocol การสั่งการซึ่งคล้ายกับ telnet โดยเราสามารถใช้คำสั่งในลักษณะเป็น
rlogin -l <username> -p <port> <hostname>
ซึ่งปกติจะทำผ่าน port 513/TCP
RSH
เป็น protocol ที่สั่งการผ่านคำสั่งเดียวไปยังเครื่องปลายทาง ในขณะที่ rlogin ใช้การทำงานลักษณะแบบต่อเนื่อง ผู้ใช้งานอยากได้แบบ interactive มากกว่า โดยเราสามารถใช้คำสั่งในลักษณะเป็น
rsh -l <username> <hostname> <command>
Rsh ใช้ port 514/TCP ในการสื่อสารระหว่างกัน
RCP
เป็นคำสั่งสำหรับการ copy ไฟล์ระหว่างเครื่องผู้ใช้งานและเครื่องเป้าหมาย โดยไม่ใช้ FTP, NFS service โดยเราสามารถใช้คำสั่งในลักษณะเป็น
rcp <target machine>:<target file or directory> <destination machine>:<destination path>
Rcp ใช้ port 514/TCP เช่นเดียวกับ RSH
วิเคราะห์การใช้งานของ TELNET
Telnet เป็นหนึ่งใน service ในสมัยก่อนที่ถูกใช้งานเพื่อให้ผู้ใช้งานสามารถควบคุมเครื่องได้จากระยะไกล โดยจะใช้ port 23 ในการพูดคุยระหว่างเครื่อง client และ server แต่ telnet นั้นมีการใช้งานที่ไม่เข้ารหัสส่งผลให้มีความเป็นไปได้ที่ข้อมูลจะหลุดหากมีผู้ไม่ประสงค์ดีที่อยู่ในเครือข่ายเดียวกันที่ไม่ปลอดภัยสามารถดักจับข้อมูลได้ ยกตัวอย่างเช่น wireless ที่ให้บริการแบบ open เป็นต้น ปัจจุบันมักจะใช้งาน SSH (Secure Shell) หรือ ซึ่งมีการเข้ารหัสระหว่างกันแทน
วิเคราะห์การใช้งานของ FTP
โดยปกติแล้ว FTP นั้นจะแบ่ง channel ในการใช้งานเป็น 2 ประเภทคือ command และ data channel ซึ่งในหัวข้อก่อนหน้าเราได้พูดถึงในลักษณะของ FTP Data ซึ่งปกติที่เป็น active mode จะใช้เป็น port 20 และ passive mode จะใช้เป็น high number port (port ที่มีหมายเลขสูงมากกว่า 1024) อยู่และ FTP command จะใช้เป็น port 21 และสำคัญคือ FTP โดย default นั้นไม่มีการเข้ารหัสแต่อย่างใด ส่งผลให้มีความเป็นไปได้ที่ข้อมูลจะหลุดหากมีผู้ไม่ประสงค์ดีที่อยู่ในเครือข่ายเดียวกันที่ไม่ปลอดภัยสามารถดักจับข้อมูลได้ ยกตัวอย่างเช่น wireless ที่ให้บริการแบบ open เป็นต้น นั่นเป็นที่มาของ FTPS (FTP-SSL) หรือ SFTP (SSH-FTP) ที่มาแทนที่ FTP ในปัจจุบัน แต่ก็ยังคงมี server จำนวนมากที่ให้บริการ FTP อยู่เช่นกัน
การดึงไฟล์ออกจาก PCAP
หลังจากที่เราทราบถึงการดักจับข้อมูลและการใช้งานเบื้องต้นไปแล้ว ต่อไปเราจะทำอะไรเพิ่มเติมจากการใช้งานแค่อ่านอย่างเดียวบ้าง นั่นคือการดึงไฟล์ออกมาจาก pcap นั่นเอง
วิธี export ไฟล์ออกจาก pcap
จากการเปิดไฟล์ pcap หากเราต้องการ export file ใดๆที่ถูกดักจับมาได้ไม่ว่าจะดักจับด้วยตัวเองหรือว่าเปิดจากไฟล์ pcap ก็ตาม สามารถทำได้โดย
1) ไปที่ Menu File -> Export Object จากนั้นเลือก Type ของ packet ที่เราต้องการ export โดยในที่นี้ packet ที่เราจะทำการ export คือ HTTP
2) จากนั้นจะมี list ของไฟล์ที่เรา export ได้ออกมา
3) เลือกไฟล์ที่ต้องการ save แล้วจากนั้นเลือก “Save”
2) จากนั้นจะมี list ของไฟล์ที่เรา export ได้ออกมา
3) เลือกไฟล์ที่ต้องการ save แล้วจากนั้นเลือก “Save”
Comments
Post a Comment