Risto Erik <br>
020452 IAPB-21<br>
<br>
<br>

POP3 kasutaja autentimine.<br>
<br>

<pre>
# tcpdump -i lo0 -n -s 1500 -vvv -x -X port 110

TCP handshake:

21:01:29.501939 127.0.0.1.3788 &gt; 127.0.0.1.110: S [tcp sum ok] 3383407783:3383407783(0) win 57344 &lt;mss 16344,nop,wscale 0,nop,nop,timestamp 563955 0&gt; (DF) (ttl 64, id 20652, len 60)
0x0000	 4500 003c 50ac 4000 4006 ec0d 7f00 0001	E..&lt;P.@.@.......
0x0010	 7f00 0001 0ecc 006e c9aa b4a7 0000 0000	.......n........
0x0020	 a002 e000 0a59 0000 0204 3fd8 0103 0300	.....Y....?.....
0x0030	 0101 080a 0008 9af3 0000 0000          	............

21:01:29.502001 127.0.0.1.110 &gt; 127.0.0.1.3788: S [tcp sum ok] 2119315560:2119315560(0) ack 3383407784 win 57344 &lt;mss 16344,nop,wscale 0,nop,nop,timestamp 563955 563955&gt; (DF) (ttl 64, id 63167, len 60)
0x0000	 4500 003c f6bf 4000 4006 45fa 7f00 0001	E..&lt;..@.@.E.....
0x0010	 7f00 0001 006e 0ecc 7e52 3068 c9aa b4a8	.....n..~R0h....
0x0020	 a012 e000 c091 0000 0204 3fd8 0103 0300	..........?.....
0x0030	 0101 080a 0008 9af3 0008 9af3          	............

21:01:29.502041 127.0.0.1.3788 &gt; 127.0.0.1.110: . [tcp sum ok] 1:1(0) ack 1 win 57344 &lt;nop,nop,timestamp 563955 563955&gt; (DF) (ttl 64, id 48545, len 52)
0x0000	 4500 0034 bda1 4000 4006 7f20 7f00 0001	E..4..@.@.......
0x0010	 7f00 0001 0ecc 006e c9aa b4a8 7e52 3069	.......n....~R0i
0x0020	 8010 e000 267a 0000 0101 080a 0008 9af3	....&z..........
0x0030	 0008 9af3                              	....

21:01:29.894803 127.0.0.1.110 &gt; 127.0.0.1.3788: P [tcp sum ok] 1:32(31) ack 1 win 57344 &lt;nop,nop,timestamp 563994 563955&gt; (DF) (ttl 64, id 21635, len 83)
0x0000	 4500 0053 5483 4000 4006 e81f 7f00 0001	E..ST.@.@.......
0x0010	 7f00 0001 006e 0ecc 7e52 3069 c9aa b4a8	.....n..~R0i....
0x0020	 8018 e000 64c3 0000 0101 080a 0008 9b1a	....d...........
0x0030	 0008 9af3 2b4f 4b20 3c32 3639 3838 2e31	....+OK.&lt;26988.1
0x0040	 3035 3330 3231 3739 3140 6273 642e 6565	053021791@bsd.ee
0x0050	 3e0d 0a                                	&gt;..

POP3 server saatis tervitus sõnumi: "+OK &lt;26988.1053021791@bsd.ee&gt;\r\n"


21:01:29.989298 127.0.0.1.3788 &gt; 127.0.0.1.110: . [tcp sum ok] 1:1(0) ack 32 win 57344 &lt;nop,nop,timestamp 564004 563994&gt; (DF) (ttl 64, id 37338, len 52)
0x0000	 4500 0034 91da 4000 4006 aae7 7f00 0001	E..4..@.@.......
0x0010	 7f00 0001 0ecc 006e c9aa b4a8 7e52 3088	.......n....~R0.
0x0020	 8010 e000 2603 0000 0101 080a 0008 9b24	....&..........$
0x0030	 0008 9b1a                              	....


Kõigepealt saadan kasutajanime: "user dh\n"

21:01:32.608138 127.0.0.1.3788 &gt; 127.0.0.1.110: P [tcp sum ok] 1:9(8) ack 32 win 57344 &lt;nop,nop,timestamp 564265 563994&gt; (DF) (ttl 64, id 55780, len 60)
0x0000	 4500 003c d9e4 4000 4006 62d5 7f00 0001	E..&lt;..@.@.b.....
0x0010	 7f00 0001 0ecc 006e c9aa b4a8 7e52 3088	.......n....~R0.
0x0020	 8018 e000 c199 0000 0101 080a 0008 9c29	...............)
0x0030	 0008 9b1a 7573 6572 2064 680a          	....user.dh.

Kasutajanimi on krüpteerimata.


21:01:32.655469 127.0.0.1.110 &gt; 127.0.0.1.3788: P [tcp sum ok] 32:38(6) ack 9 win 57344 &lt;nop,nop,timestamp 564270 564265&gt; (DF) (ttl 64, id 54934, len 58)
0x0000	 4500 003a d696 4000 4006 6625 7f00 0001	E..:..@.@.f%....
0x0010	 7f00 0001 006e 0ecc 7e52 3088 c9aa b4b0	.....n..~R0.....
0x0020	 8018 e000 a05a 0000 0101 080a 0008 9c2e	.....Z..........
0x0030	 0008 9c29 2b4f 4b20 0d0a               	...)+OK...

POP3 server teatas, et kasutajanimi oli korrektne: "+OK\r\n"


21:01:32.749338 127.0.0.1.3788 &gt; 127.0.0.1.110: . [tcp sum ok] 9:9(0) ack 38 win 57344 &lt;nop,nop,timestamp 564280 564270&gt; (DF) (ttl 64, id 14509, len 52)
0x0000	 4500 0034 38ad 4000 4006 0415 7f00 0001	E..48.@.@.......
0x0010	 7f00 0001 0ecc 006e c9aa b4b0 7e52 308e	.......n....~R0.
0x0020	 8010 e000 23cd 0000 0101 080a 0008 9c38	....#..........8
0x0030	 0008 9c2e                              	....


Saadan parooli: "pass XXXXXXXXXXXXXXX\n"

21:01:40.868762 127.0.0.1.3788 &gt; 127.0.0.1.110: P [tcp sum ok] 9:30(21) ack 38 win 57344 &lt;nop,nop,timestamp 565091 564270&gt; (DF) (ttl 64, id 53703, len 73)
0x0000	 4500 0049 d1c7 4000 4006 6ae5 7f00 0001	E..I..@.@.j.....
0x0010	 7f00 0001 0ecc 006e c9aa b4b0 7e52 308e	.......n....~R0.
0x0020	 8018 e000 0a99 0000 0101 080a 0008 9f63	...............c
0x0030	 0008 9c2e 7061 7373 2058 5858 5858 5858	....pass.XXXXXXX
0x0040	 5858 5858 5858 5858 0a                 	XXXXXXXX.

Parool saadeti samuti krüpteerimata kujul.


21:01:40.959405 127.0.0.1.110 &gt; 127.0.0.1.3788: . [tcp sum ok] 38:38(0) ack 30 win 57344 &lt;nop,nop,timestamp 565101 565091&gt; (DF) (ttl 64, id 35553, len 52)
0x0000	 4500 0034 8ae1 4000 4006 b1e0 7f00 0001	E..4..@.@.......
0x0010	 7f00 0001 006e 0ecc 7e52 308e c9aa b4c5	.....n..~R0.....
0x0020	 8010 e000 1d4e 0000 0101 080a 0008 9f6d	.....N.........m
0x0030	 0008 9f63                              	...c

21:01:40.963788 127.0.0.1.110 &gt; 127.0.0.1.3788: P [tcp sum ok] 38:44(6) ack 30 win 57344 &lt;nop,nop,timestamp 565101 565091&gt; (DF) (ttl 64, id 16878, len 58)
0x0000	 4500 003a 41ee 4000 4006 facd 7f00 0001	E..:A.@.@.......
0x0010	 7f00 0001 006e 0ecc 7e52 308e c9aa b4c5	.....n..~R0.....
0x0020	 8018 e000 99c6 0000 0101 080a 0008 9f6d	...............m
0x0030	 0008 9f63 2b4f 4b20 0d0a               	...c+OK...

Server teatas, et parool oli õige: "+OK\r\n"
</pre>


Järelikult, POP3 on ebaturvaline, kuna kogu info on muutmata kujul kättesaadav kõigile, kel
võrgu pealtkuulamise võimalus. Kuna tavaliselt liigub info enne sihtpunkti jõudmist läbi mitmete
arvutite/ruuterite/... on pealtkuulamis võimalusi palju. Just sellpärast ma jooksutan localhosti
pordil 110 deemonit (<a href="http://www.stunnel.org">stunnel</a>), mis krüpteerib enne avalikku võrkku (ehk tegelikku pop3 serverisse) saatmist 
kogu info. Sihtpunktis võtab vastaval pordil vastu teine samasugune deemon, mis dekrüpteerib info.