SERV-U是一款很普及的FTP工具，利用其搭建FTP服務器非常簡單。但是默認配置下SERV-U用21端口提供FTP服務，并且數據沒有進行任何的加密是明文傳遞。因此，一個惡意用戶可以通過sniffer工具獲取FTP用戶的帳戶和密碼。下面，我們部署環境進行SERV-U的Sniffer測試。

一、SERV-U的Sniffer測試

1、測試環境：

A、B同一子網的兩臺計算機，B是員工計算機，一名員工通過其訪問公司的FTP服務器。A是我們安裝了sniffer的計算機，其目的是嗅探使用B計算機訪問FTP服務器的員工的帳戶和密碼。

2、測試過程：

(1).在A計算機上安裝sniffer嗅探工具，并啟動該程序。在sniffer軟件中通過上方的“matrix”(矩陣)按鈕啟動監測界面，打開監測界面后我們就可以開始監測網絡中的數據包了。通過菜單欄的“capture(捕獲)→start(開始)”啟動。在檢測數據包窗口中我們點左下角的objects(對象)標簽，然后選擇station(狀態)，這樣將把當前網絡中所有通信都顯示在窗口中。(圖1)

    
(2).這時候我們通知B計算機的員工使用電腦登錄了FTP服務器，那么我們在sniffer中點菜單的“capture(捕獲)→stop and display(停止并顯示)”。這里假設我們FTP服務器的IP地址為192.168.1.20，那么我們從顯示的地址列表中找到關于192.168.1.20這個IP的數據包，然后點下方的“DECODE(反解碼)”按鈕進行數據包再分析。(圖2)

    
(3).在“DECODE”(反編碼)界面中我們就可以對關于192.168.1.20的所有數據包進行分析了。我們一個一個的分析數據包，分析到大概第十九個數據包時出現用戶名信息，我們可以從界面中看到用戶名為lw。繼續往下看，到了第二十一個數據包的時候就可以看到密碼了，密碼以明文的形式顯示在sniffer中，密碼為test168。(圖3)

    
至此，我們通過sniffer工具獲取了該員工登錄FTP服務器的帳戶和密碼。依據筆者的經驗，攻擊者在獲取了服務器的控制權之后，往往會安裝相應的嗅探工具，進而獲取更多的敏感信息，因此，嗅探不得不防。

二、SERV-U的Sniffer防范

其實，SERV-U本身就提供了防嗅探功能，只不過大多數用戶沒有開啟罷了。該功能就是SSL加密，在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。所以使用SS后就可以保證網絡中傳輸的數據不被非法用戶竊取到了。

1、創建SSL證書

要想使用Serv-U的SSL功能，需要SSL證書的支持才行。雖然Serv-U在安裝之時就已經自動生成了一個SSL證書，但這個默認生成的SSL證書在所有的Serv-U服務器中都是一樣的，非常不安全，所以我們需要手工創建一個自己獨特的SSL證書。

在“Serv-U管理員”窗口中，展開“本地服務器→設置”選項，然后切換到“SSL證書”標簽頁，創建一個新的SSL證書。首先在“普通名稱”欄中輸入FTP服務器的IP地址，接著其它欄目的內容，如電子郵件、組織和單位等，根據用戶的情況進行填寫。完成SSL證書標簽頁中所有內容的填寫后，點擊下方的“應用”按鈕即可，這時Serv-U就會生成一個新的SSL證書。(圖4)

    
2、啟用SSL功能

雖然為Serv-U服務器創建了新的SSL證書，但默認情況下，Serv-U是沒有啟用SSL功能的，要想利用該SSL證書，首先要啟用Serv-U的SSL功能才行。

要啟用Serv-U服務器中域名為“ftp”的SSL功能。在“Serv-U管理員”窗口中，依次展開“本地服務器→域→ftp”選項。在右側的“域”管理框中找到“安全性”下拉列表選項。這里Serv-U提供了3個選項，分別是“僅僅規則FTP，無SSL/TLS進程”、“允許SSL/TLS和規則進程”、“只允許SSL/TLS進程”，默認情況下，Serv-U使用的是“僅僅規則FTP，無SSL/TLS進程”，因此是沒有啟用SSL加密功能的。在“安全性”下拉選項框種選擇“只允許SSL/TLS進程”選項，然后點擊“應用”按鈕，即可啟用softer域的SSL功能。(圖5)

    
需要說明的是，啟用了SSL功能后，Serv-U服務器使用的默認端口號就不再是“21”了，而是“990”了，這點在登錄FTP的時候一定要留意，否則就會無法成功連接FTP服務器。

3、使用SSL加密連接FTP

啟用Serv-U服務器的SSL功能后，就可以利用此功能安全傳輸數據了，但FTP客戶端程序必須支持SSL功能才行。如果我們直接使用IE瀏覽器進行登錄則會出現圖6顯示的錯誤信息，一方面是以為沒有修改默認的端口21為990，另外IE瀏覽器不支持SSL協議傳輸。(圖6)

    
當然支持SSL的FTP客戶端程序現在也比較多，筆者以“Flash FXP”程序為例，介紹如何成功連接到啟用了SSL功能的Serv-U服務器。

運行“FlashFXP”程序后，點擊“會話→快速連接”選項，彈出“快速連接”對話框，在“服務器或URL”欄中輸入Serv-U服務器的IP地址，在“端口”欄中一定要輸入“990”，這是因為Serv-U服務器啟用SSL功能后，端口號就從“21”變為“990”。(圖7)

    
然后輸入可以正常登錄FTP服務器的“用戶名”和“密碼”，切換到“SSL”標簽頁，選中“絕對SSL”選項，這一步驟是非常關鍵的，如果不選中“絕對SSL”，就無法成功連接到Serv-U服務器。最后點擊“連接”按鈕。 根據實際傳輸情況在絕對SSL下方的四個選項進行選擇即可。(圖8)

    
當用戶第一次連接到Serv-U服務器時，Flash FXP會彈出一個“證書”對話框如圖9，這時用戶只要點擊“接受并保存”按鈕，將SSL證書下載到本地后，就能成功連接到Serv-U服務器，以后和Serv-U服務器間的數據傳送就會受到SSL功能的保護，不再是以明文形式傳送，這樣就不用再擔心FTP賬號被盜，敏感信息被竊取的問題了。在Flash FXP的下方我們也會看到一個小鎖的標志了，他代表當前傳輸是加密安全的傳輸。(圖9)

    
總結：局域網的特性，使得其成了Sniffer的溫床。其實除了FTP之外，像Telnet、遠程桌面、http等其數據都是明文傳遞，防范嗅探除了提高安全意識之外，選擇更安全的工具也是有必要的。

【編輯推薦】

1. 隔窗有耳局域網防監聽(
2. 解析Serv-U漏洞防患于未然