加密與解密 入侵檢測 掃描與抓包

Top

NSD SECURITY DAY02

1. 案例1：加密與解密應用
2. 案例2：使用AIDE作入侵檢測
3. 案例3：掃描與抓包分析

1 案例1：加密與解密應用

1.1 問題

本案例要求採用gpg工具實現加/解密及軟件簽名等功能，分別完成如下任務：

1. 檢查文件的MD5校驗和
2. 使用GPG實現文件機密性保護，加密和解密操做
3. 使用GPG的簽名機制，驗證數據的來源正確性

1.2 方案

加密算法主要有如下幾種分類：

1.爲確保數據機密性算法：

a) 對稱加密算法(AES,DES)

b) 非對稱加密算法（RSA，DSA）

2.爲確保數據完整性算法：

a) 信息摘要（MD5，SHA256，SHA512）

1.3 步驟

實現此案例須要按照以下步驟進行。

步驟一：檢查文件的MD5校驗和

1） 查看文件改動前的校驗和，複製爲新文件其校驗和不變

1. [root@svr5 ~]# vim file1.txt
2. abcdef
3. 123456779
4. [root@svr5 ~]# cp file1.txt file2.txt
5. [root@svr5 ~]# cat file1.txt > file3.txt
6. [root@svr5 ~]# md5sum file?.txt                 //文件內容一致，則校驗和也不變
7. b92aa0f8aa5d5af5a47c6896283f3536 file1.txt
8. b92aa0f8aa5d5af5a47c6896283f3536 file2.txt
9. b92aa0f8aa5d5af5a47c6896283f3536 file3.txt

2） 對文件內容稍做改動，再次檢查校驗和，會發現校驗和已大不相同

1. [root@svr5 ~]# echo "x" >> file1.txt
2. [root@svr5 ~]# md5sum file?.txt
3. 6be3efe71d8b4b1ed34ac45f4edd2ba7 file1.txt
4. b92aa0f8aa5d5af5a47c6896283f3536 file2.txt
5. b92aa0f8aa5d5af5a47c6896283f3536 file3.txt

步驟二：使用GPG對稱加密方式保護文件

GnuPG是很是流行的加密軟件，支持全部常見加密算法，而且開源無償使用。

1）確保已經安裝了相關軟件（默認已經安裝好了）

1. [root@svr5 ~]# yum -y install gnupg2            //安裝軟件
2. [root@svr5 ~]# gpg --version                    //查看版本
3. gpg (GnuPG) 2.0.22

2） gpg使用對稱加密算法加密數據的操做

執行下列操做：

1. [root@svr5 ~]# gpg -c file2.txt
2. .. ..

根據提示依次輸入兩次密碼便可。若是是在GNOME桌面環境，設置密碼的交互界面會是彈出的窗口程序，如圖-1所示：

圖－1

若是是在tty終端執行的上述加密操做，則提示界面也是文本方式的，如圖-2所示。

圖-2

根據提示輸入兩次口令，加密後的文件（自動添加後綴 .gpg）就生成了，傳遞過程當中只要發送加密的文件（好比 file2.txt.gpg）就能夠了。

1. [root@svr5 ~]# cat file2.txt.gpg                    //查看加密數據爲亂碼

3）使用gpg對加密文件進行解密操做

收到加密的文件後，必須進行解密才能查看其內容。

1. [root@client ~]# gpg -d file2.txt.gpg > file2.txt     //解密後保存
2. gpg: 3DES 加密過的數據
3. .. ..                                             //根據提示輸入正確密碼
5. [root@client ~]# cat file2.txt                     //查看解密後的文件
6. abcdef
7. 123456779

步驟三：使用GPG非對稱加密方式保護文件

非對稱加密/解密文件時，UserA生成私鑰與公鑰，並把公鑰發送給UserB，UserB使用公鑰加密數據，並把加密後的數據傳給UserA，UserA最後使用本身的私鑰解密數據。

實現過程以下所述。

1）接收方UserA建立本身的公鑰、私鑰對(在192.168.4.100操做)

執行gpg --gen-key操做，根據提示選擇並建立密鑰：

1. [root@client ~]# gpg --gen-key
2. … …
3. 請選擇您要使用的密鑰種類：
4. (1) RSA and RSA (default)                            //默認算法爲RSA
5. (2) DSA and Elgamal
6. (3) DSA (僅用於簽名)
7. (4) RSA (僅用於簽名)
8. 您的選擇？                                             //直接回車默認(1)
9. RSA 密鑰長度應在 1024 位與 4096 位之間。
10. 您想要用多大的密鑰尺寸？(2048)                             //接受默認2048位
11. 您所要求的密鑰尺寸是 2048 位
12. 請設定這把密鑰的有效期限。
13. 0 = 密鑰永不過時
14. <n> = 密鑰在 n 天后過時
15. <n>w = 密鑰在 n 周後過時
16. <n>m = 密鑰在 n 月後過時
17. <n>y = 密鑰在 n 年後過時
18. 密鑰的有效期限是？(0)                                         //接受默認永不過時
19. 密鑰永遠不會過時
20. 以上正確嗎？(y/n)y                                         //輸入y確認
22. You need a user ID to identify your key; the software constructs the user ID
23. from the Real Name, Comment and Email Address in this form:
24. "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
25. 真實姓名：UserA
26. 電子郵件地址：UserA@tarena.com
27. 註釋：UserA
28. 您選定了這個用戶標識：
29. 「UserA (UserA) <UserA@tarena.com>」
31. 更改姓名(N)、註釋(C)、電子郵件地址(E)或肯定(O)/退出(Q)？O         //輸入大寫O確認
32. 您須要一個密碼來保護您的私鑰。
34. 咱們須要生成大量的隨機字節。這個時候您能夠多作些雜事(像是敲打鍵盤、移動
35. 鼠標、讀寫硬盤之類的)，這會讓隨機數字發生器有更好的機會得到足夠的熵數。
39. gpg: 正在檢查信任度數據庫
40. gpg: 須要 3 份勉強信任和 1 份徹底信任，PGP 信任模型
41. gpg: 深度：0 有效性： 1 已簽名： 0 信任度：0-，0q，0n，0m，0f，1u
42. pub 2048R/421C9354 2017-08-16
43. 密鑰指紋 = 8A27 6FB5 1315 CEF8 D8A0 A65B F0C9 7DA6 421C 9354
44. uid UserA (UserA) <UserA@tarena.com>
45. sub 2048R/9FA3AD25 2017-08-16

2）UserA導出本身的公鑰文件(在192.168.4.100操做)

用戶的公鑰、私鑰信息分別保存在pubring.gpg和secring.gpg文件內：

1. [root@client ~]# gpg --list-keys                         //查看公鑰環
2. /root/.gnupg/pubring.gpg
3. ------------------------------
4. pub 2048R/421C9354 2017-08-16
5. uid UserB (User B) <UserB@tarena.com>
6. sub 2048R/9FA3AD25 2017-08-16

使用gpg命令結合--export選項將其中的公鑰文本導出，傳給發送方UserA：

1. [root@client ~]# gpg -a --export UserB > /tmp/UserA.pub
2. //--export的做用是導出密鑰，-a的做用是導出的密鑰存儲爲ASCII格式
3. [root@client ~]# scp /tmp/UserA.pub 192.168.4.5:/tmp/    //將密鑰傳給UserB

3）UserB導入接收的公鑰信息

使用gpg命令結合--import選項導入發送方的公鑰信息，以便在加密文件時指定對應的公鑰。

1. [root@svr5 ~]# gpg --import /tmp/UserA.pub
2. gpg: 密鑰 421C9354：公鑰「UserA (UserA) <UserA@tarena.com>」已導入
3. gpg: 合計被處理的數量：1
4. gpg: 已導入：1 (RSA: 1)

4) UserB使用導入的公鑰加密數據，並把加密後的數據傳給UserA

1. [root@svr5 ~]# echo "I love you ." > love.txt
2. [root@svr5 ~]# gpg -e -r UserA love.txt
3. 不管如何仍是使用這把密鑰嗎？(y/N)y                         //確認使用此密鑰加密文件
5. [root@svr5 ~]# scp love.txt.gpg 192.168.4.100:/root    //加密的數據傳給UserA

4）UserA以本身的私鑰解密文件

1. [root@client ~]# gpg -d love.txt.gpg > love.txt
2. 您須要輸入密碼，才能解開這個用戶的私鑰：「UserA (UserA) <UserA@tarena.com>」
3. 2048 位的 RSA 密鑰，鑰匙號 9FA3AD25，創建於 2017-08-16 (主鑰匙號 421C9354)
4.                                                 //驗證私鑰口令
5. gpg: 由 2048 位的 RSA 密鑰加密，鑰匙號爲 9FA3AD2五、生成於 2017-08-16
6. 「UserA (UserA) <UserA@tarena.com>」
7. [root@client ~]# cat love.txt                     //得到解密後的文件內容
8. I love you.

步驟四：使用GPG的簽名機制，檢查數據來源的正確性

使用私鑰簽名的文件，是可使用對應的公鑰驗證簽名的，只要驗證成功，則說明這個文件必定是出自對應的私鑰簽名，除非私鑰被盜，不然必定能證實這個文件來自於某我的！

1）在client(192.168.4.100)上，UserA爲軟件包建立分離式簽名

將軟件包、簽名文件、公鑰文件一塊兒發佈給其餘用戶下載。

1. [root@client ~]# tar zcf log.tar /var/log             //創建測試軟件包
2. [root@client ~]# gpg -b log.tar                     //建立分離式數字簽名
3. [root@client ~]# ls -lh log.tar* UserA.pub
4. -rw-rw-r--. 1 root root 170 8月 17 21:18 log.tar
5. -rw-rw-r--. 1 root root 287 8月 17 21:22 log.tar.sig
6. [root@client ~]# scp log.tar* 192.168.4.5:/root        //將簽名文件與簽名傳給UserB

2）在192.168.4.5上驗證簽名

1. [root@svr5 ~]# gpg --verify log.tar.sig log.tar
2. gpg:於2028年06月07日 星期六 23時23分23秒 CST 建立的簽名，使用 RSA，鑰匙號 421C9354
3. gpg: 無缺的簽名，來自於「UserA (UserA) <UserA@tarena.com>」
4. .. ..

2 案例2：使用AIDE作入侵檢測

2.1 問題

本案例要求熟悉Linux主機環境下的經常使用安全工具，完成如下任務操做：

1. 安裝aide軟件
2. 執行初始化校驗操做，生成校驗數據庫文件
3. 備份數據庫文件到安全的地方
4. 使用數據庫執行入侵檢測操做

2.2 方案

Aide經過檢查數據文件的權限、時間、大小、哈希值等，校驗數據的完整性。

使用Aide須要在數據沒有被破壞前，對數據完成初始化校驗，生成校驗數據庫文件，在被攻擊後，可使用數據庫文件，快速定位被人篡改的文件。

2.3 步驟

實現此案例須要按照以下步驟進行。

步驟一：部署AIDE入侵檢測系統

1）安裝軟件包

1. [root@svr5 ~]# yum -y install aide

2) 修改配置文件

肯定對哪些數據進行校驗，如何校驗數據

1. [root@svr5 ~]# vim /etc/aide.conf
2. @@define DBDIR /var/lib/aide                            //數據庫目錄
3. @@define LOGDIR /var/log/aide                            //日誌目錄
4. database_out=file:@@{DBDIR}/aide.db.new.gz                //數據庫文件名
5. //一下內容爲能夠檢查的項目（權限，用戶，組，大小，哈希值等）
6. #p: permissions
7. #i: inode:
8. #n: number of links
9. #u: user
10. #g: group
11. #s: size
12. #md5: md5 checksum
13. #sha1: sha1 checksum
14. #sha256: sha256 checksum
15. FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
16. //一下內容設置須要對哪些數據進行入侵校驗檢查
17. //注意：爲了校驗的效率，這裏將全部默認的校驗目錄與文件都註釋
18. //僅保留/root目錄
19. #/boot NORMAL                                    //對哪些目錄進行什麼校驗
20. #/bin NORMAL
21. #/sbin NORMAL
22. #/lib NORMAL
23. #/lib64 NORMAL
24. #/opt NORMAL
25. #/usr NORMAL
26. /root NORMAL
27. #!/usr/src                                        //使用[!]，設置不校驗的目錄
28. #!/usr/tmp

步驟二：初始化數據庫，入侵後檢測

1）入侵前對數據進行校驗，生成初始化數據庫

1. [root@svr5 ~]# aide --init
2. AIDE, version 0.15.1
3. AIDE database at /var/lib/aide/aide.db.new.gz initialized.
4. //生成校驗數據庫，數據保存在/var/lib/aide/aide.db.new.gz

2）備份數據庫，將數據庫文件拷貝到U盤（非必須的操做）

1. [root@svr5 ~]# cp /var/lib/aide/aide.db.new.gz /media/

3）入侵後檢測

1. [root@svr5 ~]# cd /var/lib/aide/
2. [root@svr5 ~]# mv aide.db.new.gz aide.db.gz
3. [root@svr5 ~]# aide --check                            //檢查哪些數據發生了變化

3 案例3：掃描與抓包分析

3.1 問題

本案例要求熟悉Linux主機環境下的經常使用安全工具，完成如下任務操做：

1. 使用NMAP掃描來獲取指定主機/網段的相關信息
2. 使用tcpdump分析FTP訪問中的明文交換信息

3.2 步驟

實現此案例須要按照以下步驟進行。

步驟一：使用NMAP掃描來獲取指定主機/網段的相關信息

1）安裝軟件

1. [root@svr5 ~]# yum -y install nmap
2. //基本用法：
3. # nmap [掃描類型] [選項] <掃描目標 ...>
4. //經常使用的掃描類型
5. // -sS，TCP SYN掃描（半開）
6. // -sT，TCP 鏈接掃描（全開）
7. // -sU，UDP掃描
8. // -sP，ICMP掃描
9. // -A，目標系統全面分析

2）檢查目標主機所開啓的TCP服務

1. [root@svr5 ~]# nmap 192.168.4.100
2. Starting Nmap 5.51 ( http://nmap.org ) at 2018-05-17 17:55 CST
3. Nmap scan report for 192.168.4.100
4. Host is up (0.00028s latency).
5. Not shown: 990 closed ports
6. PORT STATE SERVICE
7. 21/tcp open ftp
8. 22/tcp open ssh
9. 25/tcp open smtp
10. 80/tcp open http
11. 110/tcp open pop3
12. 111/tcp open rpcbind
13. 143/tcp open imap
14. 443/tcp open https
15. 993/tcp open imaps
16. 995/tcp open pop3s
17. MAC Address: 00:0C:29:74:BE:21 (VMware)
19. Nmap done: 1 IP address (1 host up) scanned in 1.31 seconds

3）檢查192.168.4.0/24網段內哪些主機開啓了FTP、SSH服務

1. [root@svr5 ~]# nmap -p 21-22 192.168.4.0/24
2. Starting Nmap 5.51 ( http://nmap.org ) at 2017-05-17 18:00 CST
3. Nmap scan report for 192.168.4.1
4. Host is up (0.000025s latency).
5. PORT STATE SERVICE
6. 21/tcp open ftp
7. 22/tcp open ssh
9. Nmap scan report for 192.168.4.7
10. Host is up.
11. PORT STATE SERVICE
12. 21/tcp filtered ftp
13. 22/tcp filtered ssh
15. Nmap scan report for 192.168.4.120
16. Host is up (0.00052s latency).
17. PORT STATE SERVICE
18. 21/tcp open ftp
19. 22/tcp open ssh
20. MAC Address: 00:0C:29:74:BE:21 (VMware)
22. Nmap scan report for pc110.tarena.com (192.168.4.110)
23. Host is up (0.00038s latency).
24. PORT STATE SERVICE
25. 21/tcp closed ftp
26. 22/tcp closed ssh
27. MAC Address: 00:50:56:C0:00:01 (VMware)
29. Nmap scan report for 192.168.4.120
30. Host is up (0.00051s latency).
31. PORT STATE SERVICE
32. 21/tcp closed ftp
33. 22/tcp closed ssh
34. MAC Address: 00:0C:29:DB:84:46 (VMware)
36. Nmap done: 256 IP addresses (5 hosts up) scanned in 4.88 seconds

3）檢查目標主機所開啓的UDP服務

1. [root@svr5 ~]# nmap -sU svr7.tedu.cn             //指定-sU掃描UDP
2. 53/udp open domain
3. 111/udp open rpcbind

3）檢查192.168.4.0/24網段內哪些主機能夠ping通

1. [root@svr5 ~]# nmap -n -sP 192.168.4.0/24
2. Starting Nmap 5.51 ( http://nmap.org ) at 2017-05-17 18:01 CST
3. Nmap scan report for 192.168.4.1
4. Host is up.
5. Nmap scan report for 192.168.4.7
6. Host is up.
7. Nmap scan report for 192.168.4.120
8. Host is up (0.00027s latency).
9. MAC Address: 00:0C:29:74:BE:21 (VMware)
10. Nmap scan report for 192.168.4.110
11. Host is up (0.00016s latency).
12. MAC Address: 00:50:56:C0:00:01 (VMware)
13. Nmap scan report for 192.168.4.120
14. Host is up (0.00046s latency).
15. MAC Address: 00:0C:29:DB:84:46 (VMware)
16. Nmap done: 256 IP addresses (5 hosts up) scanned in 3.57 seconds

4）全面分析目標主機192.168.4.100和192.168.4.5的操做系統信息

1. [root@svr5 ~]# nmap -A 192.168.4.100,5
3. Starting Nmap 5.51 ( http://nmap.org ) at 2017-05-17 18:03 CST
4. Nmap scan report for 192.168.4.100                     //主機mail的掃描報告
5. Host is up (0.0016s latency).
6. Not shown: 990 closed ports
7. PORT STATE SERVICE VERSION
8. 21/tcp open ftp vsftpd 2.2.2
9. | ftp-anon: Anonymous FTP login allowed (FTP code 230)
10. | -rw-r--r-- 1 0 0 1719 Aug 17 13:33 UserB.pub
11. | -rw-r--r-- 1 0 0 122 Aug 13 05:27 dl.txt
12. | drwxr-xr-x 2 14 0 4096 Aug 13 09:07 pub
13. | -rw-rw-r-- 1 505 505 170 Aug 17 13:18 tools-1.2.3.tar.gz
14. |_-rw-rw-r-- 1 505 505 287 Aug 17 13:22 tools-1.2.3.tar.gz.sig
15. 22/tcp open ssh OpenSSH 5.3 (protocol 2.0)
16. | ssh-hostkey: 1024 86:be:d6:89:c1:2d:d9:1f:57:2f:66:d1:af:a8:d3:c6 (DSA)
17. |_2048 16:0a:15:01:fa:bb:91:1d:cc:ab:68:17:58:f9:49:4f (RSA)
18. 25/tcp open smtp Postfix smtpd
19. 80/tcp open http Apache httpd 2.2.15 ((Red Hat))
20. |_http-methods: No Allow or Public header in OPTIONS response (status code 302)
21. | http-title: 302 Found
22. |_Did not follow redirect to https://192.168.4.100//
23. 110/tcp open pop3 Dovecot pop3d
24. |_pop3-capabilities: USER CAPA UIDL TOP OK(K) RESP-CODES PIPELINING STLS SASL(PLAIN)
25. 111/tcp open rpcbind
26. MAC Address: 00:0C:29:74:BE:21 (VMware)
27. No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
28. TCP/IP fingerprint:
29. OS:SCAN(V=5.51%D=8/19%OT=21%CT=1%CU=34804%PV=Y%DS=1%DC=D%G=Y%M=000C29%TM=52
30. OS:11ED90%P=x86_64-redhat-linux-gnu)SEQ(SP=106%GCD=1%ISR=10B%TI=Z%CI=Z%II=I
31. OS:%TS=A)OPS(O1=M5B4ST11NW6%O2=M5B4ST11NW6%O3=M5B4NNT11NW6%O4=M5B4ST11NW6%O
32. OS:5=M5B4ST11NW6%O6=M5B4ST11)WIN(W1=3890%W2=3890%W3=3890%W4=3890%W5=3890%W6
33. OS:=3890)ECN(R=Y%DF=Y%T=40%W=3908%O=M5B4NNSNW6%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O
34. OS:%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=
35. OS:0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%
36. OS:S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(
37. OS:R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=
38. OS:N%T=40%CD=S)
40. Network Distance: 1 hop
41. Service Info: Host: mail.tarena.com; OS: Unix
43. TRACEROUTE
44. HOP RTT ADDRESS
45. 1 1.55 ms 192.168.4.100

步驟二：使用tcpdump分析FTP訪問中的明文交換信息

1）啓用tcpdump命令行抓包

執行tcpdump命令行，添加適當的過濾條件，只抓取訪問主機192.168.4.100的21端口的數據通訊 ，並轉換爲ASCII碼格式的易讀文本。

1. [root@svr5 ~]# tcpdump -A host 192.168.4.5 and tcp port 21
2. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
3. listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
4. .. ..                                            //進入等待捕獲數據包的狀態
5. //監控選項以下：
6. // -i，指定監控的網絡接口
7. // -A，轉換爲 ACSII 碼，以方便閱讀
8. // -w，將數據包信息保存到指定文件
9. // -r，從指定文件讀取數據包信息
10. //tcpdump的過濾條件：
11. // 類型：host、net、port、portrange
12. // 方向：src、dst
13. // 協議：tcp、udp、ip、wlan、arp、……
14. // 多個條件組合：and、or、not

2）執行FTP訪問，並觀察tcpdump抓包結果

參考前面的測試操做，再次從客戶機192.168.4.100訪問主機192.168.4.5的vsftpd服務。而後使用tcpdump抓包，仔細分析FTP鏈接的創建過程、確認收集到的用戶名和口令信息。

1. [root@svr5 ~]# tcpdump -A -w ftp.cap \
2. > host 192.168.4.5 and tcp port 21                            //抓包並保存
3. [root@svr5 ~]# tcpdump -A -r ftp.cap | egrep '(USER|PASS)'    //分析數據包
4. .. ..
5. 18:47:25.964110 IP 192.168.4.100.novation > 192.168.4.100.ftp: Flags [S], seq 1201822818, win 65535, options [mss 1460,nop,wscale 0,nop,nop,sackOK], length 0
6. E..4..@.@......x...d.*..G.\b........;...............
7. 18:47:25.964268 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [S.], seq 2284929633, ack 1201822819, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0
8. E..4..@.@......d...x...*.1BaG.\c..9.7...............
9. 18:47:25.964436 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [.], ack 1, win 65535, length 0
10. E..(..@.@.. ...x...d.*..G.\c.1BbP.............
11. 18:47:25.967592 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [P.], seq 1:21, ack 1, win 229, length 20
12. E..<FJ@.@.jE...d...x...*.1BbG.\cP...V...220 (vsFTPd 2.2.2)
14. 18:47:26.117057 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [.], ack 21, win 65515, length 0
15. E..(..@.@......x...d.*..G.\c.1BvP.............
16. 18:47:27.960530 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [P.], seq 1:14, ack 21, win 65515, length 13
17. E..5..@.@......x...d.*..G.\c.1BvP.......USER mickey
19. 18:47:27.960544 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [.], ack 14, win 229, length 0
20. E..(FK@.@.jX...d...x...*.1BvG.\pP.............
21. 18:47:27.960783 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [P.], seq 21:55, ack 14, win 229, length 34
22. E..JFL@.@.j5...d...x...*.1BvG.\pP...i~..331 Please specify the password.
24. 18:47:28.085168 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [.], ack 55, win 65481, length 0
25. E..(..@.@......x...d.*..G.\p.1B.P.............
26. 18:47:29.657364 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [P.], seq 14:27, ack 55, win 65481, length 13
27. E..5..@.@......x...d.*..G.\p.1B.P.......PASS pwd123
29. 18:47:29.696968 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [.], ack 27, win 229, length 0
30. E..(FM@.@.jV...d...x...*.1B.G.\}P.............
31. 18:47:29.702671 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [P.], seq 55:78, ack 27, win 229, length 23
32. E..?FN@.@.j>...d...x...*.1B.G.\}P.......230 Login successful.
34. 18:47:29.835258 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [.], ack 78, win 65458, length 0
35. E..(..@.@......x...d.*..G.\}.1B.P.............
36. 18:47:31.716375 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [P.], seq 27:33, ack 78, win 65458, length 6
37. E.....@.@......x...d.*..G.\}.1B.P... ...QUIT
39. 18:47:31.716532 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [.], ack 33, win 229, length 0
40. E..(FO@.@.jT...d...x...*.1B.G.\.P....}........
41. 18:47:31.716634 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [P.], seq 78:92, ack 33, win 229, length 14
42. E..6FP@.@.jE...d...x...*.1B.G.\.P.......221 Goodbye.
44. 18:47:31.716677 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [F.], seq 92, ack 33, win 229, length 0
45. E..(FQ@.@.jR...d...x...*.1B.G.\.P....n........
46. 18:47:31.717053 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [.], ack 93, win 65444, length 0
47. E..(..@.@......x...d.*..G.\..1B.P.............
48. 18:47:31.718796 IP 192.168.4.100.novation > 192.168.4.5.ftp: Flags [F.], seq 33, ack 93, win 65444, length 0
49. E..(..@.@......x...d.*..G.\..1B.P.............
50. 18:47:31.719097 IP 192.168.4.5.ftp > 192.168.4.100.novation: Flags [.], ack 34, win 229, length 0
51. E..(..@.@......d...x...*.1B.G.\.P....m........