ftp

Dan Lukes dan at obluda.cz
Tue Aug 7 15:12:57 CEST 2007


Marchyn Tibor napsal/wrote, On 08/07/07 14:33:
> Posielam ti tie vypisy....

> tcpdump -s1600 -p -i em0 -w zaNAT host 80.188.94.106 and \( host 212.80.77.48 \)
> tcpdump -s1600 -p -i em1 -w predNAT host 10.10.10.22 and \( host 212.80.77.48 \)

	Takze ted ten slibeny vytah pro ostatni. Takto vypada session:

<<< 220 bisvan Microsoft FTP Service.(Version 5.0)
 >>> USER (cenzurovano1)
<<< 331 Password required for (cenzurovano1)
 >>> PASS (cenzurovano2)
<<< 230 User (cenzurovano1) logged in
 >>> SYST
<<< 215 Windows_NT.version 5.0
 >>> FEAT
<<< 500 'FEAT': command not understood
 >>> PWD
<<< 257 "/(cenzurovano1)" is current directory...
 >>> TYPE A
<<< 200 Type set to A
 >>> PASV
<<< 227 Entering Passive Mode (212,80,77,48,9,213)

	A nastava presne ta chvile, kdy ma FTP klient otevrit datove spojeni, o 
coz se take pokousi:

14:07:27.602488 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S 
789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK>

14:07:30.499823 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S 
789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK>

14:07:36.451070 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S 
789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK>

	Nikdy ale nedostava zadnou odpoved a dojde k zaveru, ze pasivni mod 
neni pruchozi. Zkusi tedy aktivni:

 >>> PORT.10,10,10,22,95,10
<<< 500.Invalid PORT Command

	Ani to nevyjde a tak definitivne vzdava.

 >>> QUIT


	Komunikace zachycena za prekladem vypada naprosto identicky, 
samozrejme, az na prelozenou zdrojovou adresu paketu. Pokus o otevreni 
datoveho spojeni ale selze uplne stejne (na SYN pakety neprichazi zadna 
odpoved). To, ze neprojde pokus o spojeni aktivnim modem je jasny, NAT 
do datove casti paketu nesaha a prikaz PORT "v puvodnim zneni" je pro 
server pochopitelne vadny.

	Podle meho nazoru nekdo po ceste, a nejpravdepodobneji ty sam, blokujes 
moznost otevreni odchoziho datoveho spojeni.

	S konfiguraci PF ti ale moc nepomuzu, to sam nepouzivam. Jestli to sam 
nezvladas, zkus poslat konfiguraci, to by to tu mohl poradit nekdo jiny. 
Ja ji sem za tebe neposlu, jednak nevim, co bysis z ni nepral 
zverejnovat, jednak ta, cos poslal me byla necitelne poskozena.


						Dan


P.S. V dumpu, kterys mi poslal byly zachyceny v citelne podobne 
pristupova jmena a hesla na onen FTP server. Nevim, jestlis vyhodnotil, 
ze to nevadi, protoze ve vasem konkretnim pripade mam dostatecne 
provereni pro styk s citlivymi udaji nebo proto, zes nevedel, ze tam 
takove citlive udaje jsou. Pri pripad, ze to druhe, tak ti to rikam, 
abys treba priste neposlal nekomu jinemu neco, ceho bys pozdeji litoval.


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz



More information about the Users-l mailing list