FTP協(xié)議的分析和擴(kuò)展

發(fā)布時(shí)間：2010-09-07 22:44:21 作者：佚名

>>1.0<< FTP和TCP端口號(hào) 根據(jù)是使用Port模式還是Passive模式，F(xiàn)TP使用不同的TCP端口號(hào)，在詳細(xì)描述FTP前，我們來(lái) 簡(jiǎn)單討論一下TCP端口號(hào)的一些基本概念。TCP使用端口號(hào)來(lái)標(biāo)識(shí)所發(fā)送和接收的應(yīng)用，端口

表明客戶端希望進(jìn)入Passive模式；
5、服務(wù)器端進(jìn)行應(yīng)答，應(yīng)答包括服務(wù)器的IP地址和一個(gè)暫時(shí)的端口，這個(gè)暫時(shí)的端口是客戶端
在打開(kāi)數(shù)據(jù)傳輸連接時(shí)應(yīng)該使用的端口；
6、客戶端發(fā)送一個(gè)SYN包，源端口為客戶端自己選擇的一個(gè)暫時(shí)端口，目的端口為服務(wù)器在PASV
應(yīng)答命令中指定的暫時(shí)端口號(hào)；
7、服務(wù)器端發(fā)送SYN ACK包給客戶端，目的端口為客戶端自己選擇的暫時(shí)端口，源端口為PASV
應(yīng)答中指定的暫時(shí)端口號(hào)；
8、客戶端發(fā)送一個(gè)ACK包；
9、發(fā)送數(shù)據(jù)的主機(jī)以這個(gè)連接來(lái)發(fā)送數(shù)據(jù)，數(shù)據(jù)以TCP段(注：segment，第4層的PDU)形式發(fā)送（
一些命令，如STOR表示客戶端要發(fā)送數(shù)據(jù)，RETR表示服務(wù)器段發(fā)送數(shù)據(jù)），這些TCP段都需要
對(duì)方進(jìn)行ACK確認(rèn)；
10、當(dāng)數(shù)據(jù)傳輸完成以后，發(fā)送數(shù)據(jù)的主機(jī)以一個(gè)FIN命令來(lái)結(jié)束數(shù)據(jù)連接，這個(gè)FIN命令需要另一
臺(tái)主機(jī)以ACK確認(rèn)，另一臺(tái)主機(jī)也發(fā)送一個(gè)FIN命令，這個(gè)FIN命令同樣需要發(fā)送數(shù)據(jù)的主機(jī)以A
CK確認(rèn)；
11、客戶端能在控制連接上發(fā)送更多的命令，這可以打開(kāi)和關(guān)閉另外的數(shù)據(jù)連接；有時(shí)候客戶端結(jié)
束后，客戶端以FIN命令來(lái)關(guān)閉一個(gè)控制連接，服務(wù)器端以ACK包來(lái)確認(rèn)客戶端的FIN，服務(wù)器
同樣也發(fā)送它的FIN，客戶端用ACK來(lái)確認(rèn)。

大多數(shù)人認(rèn)為在防火墻網(wǎng)絡(luò)環(huán)境中Passive模式比Port模式的問(wèn)題小，但我們注意到在Passive
模式下，客戶端打開(kāi)一個(gè)暫時(shí)的目的端口連接，一些防火墻或者CISCO設(shè)備的訪問(wèn)列表(ACL)可
能會(huì)阻止這種連接，同樣服務(wù)器的回應(yīng)也是從一個(gè)暫時(shí)的端口到一個(gè)暫時(shí)的端口，防火墻或者
CISCO的訪問(wèn)列表也會(huì)阻止這種連接。在CISCO路由器上你可以用訪問(wèn)列表關(guān)鍵字"established
"來(lái)避免第二個(gè)問(wèn)題，"established"關(guān)鍵字告訴路由器允許帶ACK字端的包通過(guò)，服務(wù)器端的S
YN ACK包帶有ACK字端。在新版本PIX IOS中也可以通過(guò)fixit關(guān)鍵字建立針對(duì)ftp協(xié)議的深層狀
態(tài)檢測(cè)過(guò)濾，其他大多數(shù)狀態(tài)檢測(cè)防火墻例如LinuxNetfilters也支持ftp協(xié)議的狀態(tài)檢測(cè)，進(jìn)行
準(zhǔn)確的PASV動(dòng)態(tài)端口過(guò)濾。

>>2.3 用戶名和口令的明文傳輸
FTP另一個(gè)聲名狼藉的問(wèn)題是它以明文方式發(fā)送用戶名和口令，也就是不加密地發(fā)送。任何人
只要在網(wǎng)絡(luò)中合適的位置放置一個(gè)協(xié)議分析儀就可以看到用戶名和口令；FTP發(fā)送的數(shù)據(jù)也是
以明文方式傳輸，通過(guò)對(duì)ftp連接的監(jiān)控和數(shù)據(jù)收集就可以收集和重現(xiàn)ftp的數(shù)據(jù)傳輸并實(shí)現(xiàn)協(xié)
議連接回放。事實(shí)上很多用戶把相同的用戶名和口令用在不同的應(yīng)用中，這樣這個(gè)問(wèn)題可能
看起來(lái)更為糟糕；如果黑客收集到FTP口令，他們也可能就得到了你在線帳號(hào)或者其他一些
機(jī)密數(shù)據(jù)的口令。

下面是通過(guò)tcpdump -- 一個(gè)著名的網(wǎng)絡(luò)協(xié)議分析程序抓取的ftp的完整通訊過(guò)程。
/=================================================================\
21:55:36.682402 IP 192.168.0.1.2323 > 192.168.0.3.21: S 2047626269:2047626269(0)
win 65535 <mss 1460,nop,nop,sackOK> (DF)
21:55:36.682792 IP 192.168.0.3.21 > 192.168.0.1.2323: S 3917547047:3917547047(0)
ack 2047626270 win 65535 <mss 1460,nop,nop,sackOK> (DF)
21:55:36.682855 IP 192.168.0.1.2323 > 192.168.0.3.21: . ack 1 win 65535 (DF)
<TCP三步握手>
21:55:36.854899 IP 192.168.0.3.21 > 192.168.0.1.2323: P 1:115(114) ack 1 win 65535
(DF)
0x0000 4500 009a d570 4000 8006 a398 c0a8 0003 E....p@.........
0x0010 c0a8 0001 0015 0913 e981 0628 7a0c 4c1e ...........(z.L.
0x0020 5018 ffff cd50 0000 3232 302d 5468 6973 P....P..220-This
0x0030 2073 6572 7665 7220 6973 2066 6f72 2070 .server.is.for.p
0x0040 7269 7661 7465 2075 7365 206f 6e6c 790d rivate.use.only.
0x0050 0a32 .2
21:55:37.016115 IP 192.168.0.1.2323 > 192.168.0.3.21: . ack 115 win 65421 (DF)
0x0000 4500 0028 b8d0 4000 8006 c0aa c0a8 0001 E..(..@.........
0x0010 c0a8 0003 0913 0015 7a0c 4c1e e981 069a ........z.L.....
0x0020 5010 ff8d 6f83 0000 P...o...
21:55:37.016471 IP 192.168.0.3.21 > 192.168.0.1.2323: P 115:154(39) ack 1 win
65535 (DF)
<FTP協(xié)議連接>
0x0000 4500 004f d586 4000 8006 a3cd c0a8 0003 E..O..@.........
0x0010 c0a8 0001 0015 0913 e981 069a 7a0c 4c1e ............z.L.
0x0020 5018 ffff 074f 0000 3232 3020 506c 6561 P....O..220.Plea
0x0030 7365 2065 6e74 6572 2079 6f75 7220 6c6f se.enter.your.lo
0x0040 6769 6e20 6e61 6d65 206e 6f77 2e0d 0a gin.name.now...
21:55:37.022282 IP 192.168.0.1.2323 > 192.168.0.3.21: P 1:12(11) ack 154 win 65382
(DF)
0x0000 4500 0033 b8d2 4000 8006 c09d c0a8 0001 E..3..@.........
0x0010 c0a8 0003 0913 0015 7a0c 4c1e e981 06c1 ......