FTP協(xié)議的分析和擴(kuò)展

發(fā)布時間：2010-09-07 22:44:21 作者：佚名

>>1.0<< FTP和TCP端口號根據(jù)是使用Port模式還是Passive模式，F(xiàn)TP使用不同的TCP端口號，在詳細(xì)描述FTP前，我們來簡單討論一下TCP端口號的一些基本概念。TCP使用端口號來標(biāo)識所發(fā)送和接收的應(yīng)用，端口

>>1.0<< FTP和TCP端口號
根據(jù)是使用Port模式還是Passive模式，F(xiàn)TP使用不同的TCP端口號，在詳細(xì)描述FTP前，我們來
簡單討論一下TCP端口號的一些基本概念。TCP使用端口號來標(biāo)識所發(fā)送和接收的應(yīng)用，端口號
可以幫助TCP來分離字節(jié)流并且?guī)拖鄳?yīng)字節(jié)傳遞給正確的應(yīng)用程序。
TCP端口號可以是半永久的和暫時的。服務(wù)器端監(jiān)聽在半永久的端口上來讓客戶端訪問?？蛻?nbsp;
端使用暫時的端口在本地標(biāo)識一個對話，客戶端端口只在使用TCP服務(wù)時候才存在，而服務(wù)器
端口只要服務(wù)器在運(yùn)行就一直在監(jiān)聽。

TCP端口可以歸為3類：
1、眾所周知的端口來標(biāo)識在TCP上運(yùn)行的標(biāo)準(zhǔn)服務(wù)，包括FTP、HTTP、TELNET、SMTP等，這些
端口號碼范圍為0-1023；
2、注冊端口號用來標(biāo)識那些已經(jīng)向IANA（Internet Assigned Numbers Assigned Numbers
Authority）注冊的應(yīng)用，注冊端口號為1024-49151；
3、私有端口號是非注冊的并且可以動態(tài)地分配給任何應(yīng)用，私有端口為49152-65535；
注冊的端口號本來打算只給注冊的應(yīng)用使用，可近年來端口號已經(jīng)陷入了到達(dá)極限的困境，你
可能會看到本來應(yīng)該是給注冊應(yīng)用使用的注冊端口被非注冊應(yīng)用用做暫時的端口。RFC1700詳
細(xì)標(biāo)注了眾所周知的和注冊的端口號，然而不幸的是，這個RFC文檔自從1994年以來一直沒有
被更新，然后你仍可以從IANA得到一個及時更新的端口列表，詳細(xì)URL為：
http://www.iana.org/assignments/port-numbers

>>2.0<< FTP Port模式和FTP Passive模式
當(dāng)你對一個FTP問題進(jìn)行排錯時候，你首先要問的一個問題是使用的是port模式的還是passive
模式。因為這兩種行為迥異，所以這兩種模式引起的問題也不同；在過去，客戶端缺省為acti
ve(port)模式；近來，由于Port模式的安全問題，許多客戶端的FTP應(yīng)用缺省為Passive模式。

>>2.1 FTP Port模式
Port模式的FTP步驟如下：
1、客戶端發(fā)送一個TCP SYN（TCP同步）包給服務(wù)器段眾所周知的FTP控制端口21，客戶端
使用暫時的端口作為它的源端口；
2、服務(wù)器端發(fā)送SYN ACK（同步確認(rèn)）包給客戶端，源端口為21，目的端口為客戶端上使用
的暫時端口；
3、客戶端發(fā)送一個ACK（確認(rèn)）包；客戶端使用這個連接來發(fā)送FTP命令，服務(wù)器端使用這個
連接來發(fā)送FTP應(yīng)答；
4、當(dāng)用戶請求一個列表(List)請求或者發(fā)起一個要求發(fā)送或者接受文件的請求，客戶端軟件使用
PORT命令，這個命令包含了一個暫時的端口，客戶端希望服務(wù)器在打開一個數(shù)據(jù)連接時候使用
這個暫時端口；PORT命令也包含了一個IP地址，這個IP地址通常是客戶自己的IP地址，而且FT
P也支持第三方（third-party）模式，第三方模式是客戶端告訴服務(wù)器端打開與另臺主機(jī)的連接；
5、服務(wù)器端發(fā)送一個SYN包給客戶端的暫時端口，源端口為20，暫時端口為客戶端在PORT命令中
發(fā)送給服務(wù)器端的暫時端口號；
6、客戶端以源端口為暫時端口，目的端口為20發(fā)送一個SYN ACK包；
7、服務(wù)器端發(fā)送一個ACK包；
8、發(fā)送數(shù)據(jù)的主機(jī)以這個連接來發(fā)送數(shù)據(jù)，數(shù)據(jù)以TCP段(注：segment，第4層的PDU)形式發(fā)送（
一些命令，如STOR表示客戶端要發(fā)送數(shù)據(jù)，RETR表示服務(wù)器段發(fā)送數(shù)據(jù)），這些TCP段都需要
對方進(jìn)行ACK確認(rèn)（注：因為TCP協(xié)議是一個面向連接的協(xié)議）
9、當(dāng)數(shù)據(jù)傳輸完成以后，發(fā)送數(shù)據(jù)的主機(jī)以一個FIN命令來結(jié)束數(shù)據(jù)連接，這個FIN命令需要另一
臺主機(jī)以ACK確認(rèn)，另一臺主機(jī)也發(fā)送一個FIN命令，這個FIN命令同樣需要發(fā)送數(shù)據(jù)的主機(jī)以A
CK確認(rèn)；
10、客戶端能在控制連接上發(fā)送更多的命令，這可以打開和關(guān)閉另外的數(shù)據(jù)連接；有時候客戶端結(jié)
束后，客戶端以FIN命令來關(guān)閉一個控制連接，服務(wù)器端以ACK包來確認(rèn)客戶端的FIN，服務(wù)器
同樣也發(fā)送它的FIN，客戶端用ACK來確認(rèn)。

FTP Port模式會給網(wǎng)絡(luò)管理人員在許多方面帶來很多問題，首先，在PORT命令消息中的IP地址和端
口號的編碼不是直白地顯示。另外，應(yīng)用層的協(xié)議命令理論上不應(yīng)該包含網(wǎng)絡(luò)地址信息（注：
IP地址），因為這打破了協(xié)議層的原則并且可能導(dǎo)致協(xié)同性和安全性方面的問題。

當(dāng)使用FTP時候，網(wǎng)絡(luò)中的防火墻必須要聲明相應(yīng)的端口，防火墻必須要跟蹤FTP對話然后檢查
PORT命令，防火墻必須要參與從服務(wù)器端到客戶端在PORT命令中指定的端口連接的建立過程。
如果網(wǎng)絡(luò)中使用了NAT（注：網(wǎng)絡(luò)地址翻譯），那么NAT的網(wǎng)關(guān)同樣也需要聲明相應(yīng)的端口，網(wǎng)
關(guān)需要把在PORT命令中指定的IP地址翻譯成分配給客戶的地址，然后重新計算TCP的Checksum
；如果網(wǎng)關(guān)沒有正確地執(zhí)行這個操作，F(xiàn)TP就失敗了。

黑客可能會利用FTP支持第三方特性這一特點(diǎn)，在PORT命令中設(shè)置IP地址和端口號參數(shù)來指定
一臺目標(biāo)主機(jī)的地址和端口號（有時候稱這種攻擊為FTP反彈攻擊），例如黑客可以讓一臺FTP
服務(wù)器不斷地從它的源端口20發(fā)送TCP SYN包給一系列目的端口，讓FTP服務(wù)器看起來正在進(jìn)行
端口掃描，目的主機(jī)不知道攻擊來自黑客的主機(jī)，看起來攻擊象是來自FTP服務(wù)器。一些常用的
FTP應(yīng)用在PORT命令中設(shè)置地址為0.0.0.0，這樣做的意圖是讓FTP服務(wù)器只需要與打開控制連接
的相同客戶進(jìn)行數(shù)據(jù)連接，設(shè)置地址為0.0.0.0可能會讓防火墻不知所措。例如，CISCO PIX IOS
6.0以上版本的PIX（注：CISCO硬件防火墻設(shè)備，6.0以上版本為其修正了相關(guān)的FTP協(xié)議）
要求數(shù)據(jù)連接的IP地址與已經(jīng)存在的控制連接的IP地址必須相同。這樣做的原因是防止黑客用
PORT命令來攻擊別的機(jī)器，雖然一些FTP應(yīng)用設(shè)置IP地址為0.0.0.0不是有意圖的攻擊，但在PI
X修正協(xié)議環(huán)境下的確引起了一些問題，同時對其他不允許第三方模式和避免FTP反彈攻擊的防
火墻來說，這也會引起相同的問題。

>>2.2 FTP Passive模式
下面的列表描述了Passive模式的FTP的步驟，步驟1到3和Port模式FTP相同，步驟9到11同樣與
Port模式FTP最后三步相同。

1、客戶端發(fā)送一個TCP SYN（TCP同步）包給服務(wù)器段眾所周知的FTP控制端口21，客戶端使
用暫時的端口作為它的源端口；
2、服務(wù)器端發(fā)送SYN ACK（同步確認(rèn)）包給客戶端，源端口為21，目的端口為客戶端上使用
的暫時端口；
3、客戶端發(fā)送一個ACK（確認(rèn)）包；客戶端使用這個連接來發(fā)送FTP命令，服務(wù)器端使用這個
連接來發(fā)送FTP應(yīng)答；
4、當(dāng)用戶請求一個列表(List)或者發(fā)送或接收文件時候，客戶端軟件發(fā)送PASV命令給服務(wù)器端