網絡工程師了解本文的必要性：

本文所述為網絡工程師的操作基礎第一課，大中型企業一般地理范圍寬，尤其在要求效率高、業務連續性強，對網絡的可用性、穩定性和可靠性要求高的企業，一般不采用跑腿的方式，使用筆記本電腦連接到物理設備的console口直接對設備進行配置，而是通過網絡連接到遠端的網絡設備實現配置與控制。本文屬于下述預備知識中的（3）網絡安全的傳輸控制連接。
如果采用telnet的方式，有可能被捕獲到數據包，進而分析出工程師所輸入的用戶名與密碼，本文針對這一問題的安全性管理與控制，也是安全傳輸的一個技術點進行闡述。

預備知識：

1、網絡的安全主要包含以下幾方面：

（1）物理安全：

防震、水、火、雷等，一般與聲光報警系統聯動及時發現問題，也包含強弱電的分開綜合布線規劃、UPS不間斷電源部署等，即OSI參考模型的物理層安全。

（2）主機安全：

服務器的防火墻開啟、安全防護開啟、更新補丁、病毒防護、暫不用的服務和端口關閉、安全策略、網絡訪問的認證接入等。

（3）網絡安全：

網絡的訪問控制，如僅允許授權的用戶對某些資源或網段的訪問；數據傳輸過程中的加密等。如二層的VRRP協議網關冗余安全、MSTP多生成樹協議、ACL訪問控制、防ARP欺騙等；三層的防VPN隧道技術、ipsec隧道加密、防ip欺騙攻擊、防偽DHCP攻擊、部署ids與硬件防火墻聯動等；四層以上部署ips，ips側重于OSI參考模型的第四層到第七層的的安全防護，主要實現入侵防御，病毒防護，安全威脅防護及訪問控制等功能；能夠防范的威脅類型包括：針對系統的漏洞攻擊、蠕蟲、木馬、SQL注入等。

（4）應用安全：

部署WAF防火墻之類的安全硬件，對WEB服務器進行保護，尤其是現在BS模式的廣泛應用下，對WEB的安全防護就更顯重要，可以防XSS跨站腳本攻擊、遠程代碼執行攻擊等。

（5）數據安全：

數據的備份與恢復，遠程災備，NAS、SAN（ip san、fc san、vsan）、iSCSI存儲等、冷備份（需要N多年保存的數據不常調用的數據可使用磁帶庫）與熱備份（raid陣列技術或主備存儲）相結合，手工備份（數據庫）與自動備份（通過腳本指定凌晨以后自動備份）相結合，完整備份（如每個月執行一次完整備份）與增量備份（每周或每天執行一次對新增數據的備份）相結合。

2、本例通過ENSP華為模擬器，來完成對telnet與FTP的明文傳輸過程中的數據包抓取，然后分析，并不是說華為設備就不安全，而是任何品牌的智能網管型的設備都有此特性。

3、根據telnet協議與FTP協議的特征，它們本就是明文傳輸數據包，沒有對傳輸的數據進行加密，設計之初主要是為了方便工程師們進行遠程的調試與配置。所以在抓包分析時，大家注意多觀察。

4、注意對比telnet與stelnet協議（用于遠程登錄管理與配置設備），對比ftp與sftp協議（用于對網絡設備配置文件的備份）。
**

一、環境準備

**（下載并安裝好以下工具軟件，注：以下版本的工具在win10-64位專業版下正常測試通過）

1、安裝ENSP

（1）安裝winpcap4.13
（2）安裝wireshark_64位3.2.2
（3）安裝virtualbox5.2.16
（4）安裝ENSP1.3.100

2、打開ENSP，拖出拓撲圖如下：

（1）從ENSP中拖出1臺client，1臺傻瓜交換機（可用S3700），1臺AR1220路由器，1臺server
（2）習慣性的把需要部署的IP地址與子網掩碼標識在拓撲之中
（3）連線并將各接口顯示出來（方便后面配置）
（4）啟動各設備

二、開始配置

1、配置client設置的IP地址與子網掩碼、網關，網關指向路由器的接口IP

（本例把交換機當傻瓜交換機，所以不做VLAN的配置）

2、配置路由器的接口IP地址與子網掩碼

雙擊啟動的路由器后，進入命令模式：
system-view #進入系統視圖
interface GigabitEthernet0/0/0 #配置g0/0/0端口
ip address 192.168.1.254 255.255.255.0 #給G0/0/0端口配置IP地址與子網掩碼
quit #返回到上一級
interface GigabitEthernet0/0/1 #配置g0/0/1端口
ip address 192.168.2.254 255.255.255.0 #給G0/0/1端口配置IP地址與子網掩碼
quit #返回到上一級

3、配置路由器上用于訪問FTP服務器的用戶名與密碼

ftp server enable #開啟路由器上的FTP服務（路由器也可以用FTP服務下載保存好的配置文件）
aaa #配置aaa
local-user huawei password cipher huawei #創建用戶huawei
local-user huawei privilege level 15 #將huawei用戶的權限調整為3-15之間的管理員級均可
local-user huawei ftp-directory flash: #配置FTP服務的主目錄為路由器的rom
local-user huawei service-type ftp #配置服務類型為FTP
quit #返回到上一級
user-interface vty 0 4 #進入用戶視圖
authentication-mode password #配置用戶認證方式為通過密碼訪問
set authentication password cipher huawei #配置認證密碼為huawei

4、配置FTP server

（1）配置FTP server的IP地址、子網掩碼和網關

（2）配置FTP server的根目錄（根目錄選擇好后，點啟動）

三、驗證登錄

1、配置client

2、點登錄后，能看到在FTP server端設置的根目錄內相關內容

四、wireshark對數據包進行分析，抓取用戶名和密碼

1、在拓撲圖上右擊連線節點，開始抓包

2、點client中的登錄后，分析抓取到的FTP協議的明文數據包，user用戶，pass密碼如下：

不用通過暴力破解或字典分析，輕松獲得FTP用戶登錄服務端的過程中抓取的數據包中的用戶名（user）和密碼（password）。

3、我們再來看一下telnet協議的數據包。下圖中10.1.1.2是用戶端，10.1.1.254是telnet的網絡設備端。
我們只看用戶提交的給網絡設備端的telnet數據，即source源是用戶端，destination目標是網絡設備端的數據包，如下：

（1）從上圖中可看到，telnet的data是字符ad，記下后繼續：

（2）從上圖中可看到，telnet的data是字符m，記下后繼續：

（3）從上圖中可看到，telnet的data是字符i，記下后繼續：

（4）從上圖中可看到，telnet的data是字符n，記下后繼續：

（5）從上圖中可看到，telnet的data是字符\r\n，代表用戶已經敲了回車鍵確認，把上面4步的字符組合，說明用戶輸入的字符就是admin，回車，此時網絡設備端接收到了字符串admin，下一個數據包，我們看網絡設備端要求用戶接下來輸入什么：
注意此時的源是設備端10.1.1.254，目標是用戶端10.1.1.2

（6）上圖即為網絡設備端要求用戶端輸入的是password，即密碼，接下來繼續看源是用戶端，目標是網絡設備端的數據包

（7）從上圖可以看出，用戶輸入密碼時，第一個字符是h，繼續往下看

（8）從上圖可以看出，用戶輸入密碼時，第二個字符是e，繼續往下看

（9）從上圖可以看出，用戶輸入密碼時，第三個字符是l，繼續往下看

（10）從上圖可以看出，用戶輸入密碼時，第四個字符也是l，繼續往下看

（11）從上圖可以看出，用戶輸入密碼時，第五個字符也是o，繼續往下看

（11）從上圖可以看出，用戶輸入密碼時，第六個字符是\r\n，即回車鍵確認，把上面的5個步聚組合起來，即密碼是hello。
密碼從抓取的數據包當中就能獲得，所以，telnet傳輸過程中的安全性并不高。

4、所以我們配置Stelnet遠程登錄，Stelnet采用的是ssh協議，抓包如下，所有數據包都通過了加密算法加密，得到的只是加密后的編碼，如下圖：encrypted packet后的即為加密后傳輸的數據。

5、SFTP協議的服務端在訪問時，提示如下：

從上圖可以看出，Sftp采用了rsa非對稱加密算法、安全散列算法SHA（計算的值不可逆運算得到源碼）、MD5完整性驗證，所以在傳輸數據的過程中，安全性相當高。

希望對各網絡工程師有一定幫助，需要補充或解釋不周之處，敬請指點。

總結

以上是生活随笔為你收集整理的为什么使用Stelnet与sftp协议，而不用telnet与ftp协议的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。