Bước 1: Kết nối vào máy chủ FTP từ máy trạm FTP
Khi kiểm tra thông tin bạn sẽ biết được những gì đang xảy ra trên hệ thống. Trước tiên hãy kiểm tra Trace Packet vì nó cho phép chúng ta theo dõi dòng FTP.
Packet View
Packet trên máy trạm FTPTheo thông tin trong Packet View, máy trạm FTP hiển thị thông tin kết nối TCP trong 3 Packet đầu tiên (gồm SYN, SYN ACK và ACK). Sau khi kết nối TCP hoàn thành, giao tiếp FTP sẽ khởi chạy. Lệnh FTP đầu tiên là lệnh máy chủ sử dụng để tự xác định nó như một máy chủ FTP MS.
Sau đó máy trạm sẽ phản hồi một thông báo AUTH TLS. Thông thường máy trạm sẽ hiển thị thông báo “hello friendly FTP server, i would like to start an encrypted TLS session”. Máy trạm sẽ phản hồi thông báo này hai lần sau đó nhận lại phản hồi Access is Denied từ máy chủ.
Khi kiểm tra những Packet của máy chủ FTP, bạn có thể kiểm tra 3 Packet cho biết thông tin kết nối đầu tiên, trong đó có một gói máy chủ tự thực hiện xác nhận, nhưng chúng ta sẽ không thể thấy được Packet lưu trữ thông tin về FTP của máy chủ FTP trong phiên AUTH TLS.
Packet trên máy chủ FTPCửa sổ hiển thị thông tin
Nếu nhìn vào cửa sổ hiển thị thông tin TCP, chúng ta có thể dễ dàng thấy rằng máy trạm đang gửi thông tin AUTH SSL và máy chủ sẽ không bao giờ nhận được những thông tin này.
Bước 2: Kiểm tra thông báo lỗi Access is Denied
Những thông tin trên cho thấy một phản hồi 550 Access is Denied đang được gửi tới máy trạm FTP. Tuy nhiên, không có thông tin nào khẳng định rằng thông tin phản hồi được máy chủ gửi đi. Máy chủ FTP có thể chấp nhận yêu cầu để thực hiện bảo mật kết nối TLS. Như vậy, vấn đề ở đây là gì? Rõ ràng, có một thiết bị trung gian đã tạo ra phản hồi này và gửi trở lại máy trạm.
Để sử dụng thông tin này, hãy kiểm tra file log của ISA Firewall và kiểm tra xem có cấp độ từ chối truy cập hay không. Hình minh họa dưới đây hiển thị những mục log liên quan.
Khi nhìn thoáng qua, lưu lượng có vẻ rất bình thường. ISA chấp nhận gói tin thứ nhất sau đó ngắt kết nối như nó thường làm mỗi khi một phiên kết nối TCP thông thường kết thúc.
Vậy thông báo lỗi Access is Denied được gửi đến từ đâu? Để kiểm tra kĩ hơn, chúng ta cần bổ sung thêm một cột vào cửa sổ file log của ISA có tên Result Code.
Sau khi đã chèn thêm cột này chúng ta sẽ thấy được những gì mà Firewall của ISA đang thực hiện.
Lưu ý: Bạn có thể kiểm tra ý nghĩa của các Result Code tại đây.
Trong Result Code trên thì 0x80074E24 FWX_E_CONNECTION_KILLED cho biết máy chủ ISA đã ngắt một kết nối.