FTP協(xié)議的分析和擴展

發(fā)布時間：2010-09-07 22:44:21 作者：佚名

>>1.0<< FTP和TCP端口號根據(jù)是使用Port模式還是Passive模式，F(xiàn)TP使用不同的TCP端口號，在詳細描述FTP前，我們來簡單討論一下TCP端口號的一些基本概念。TCP使用端口號來標識所發(fā)送和接收的應用，端口

3 PORT: 1402 |
| [R] LIST -al |
| [R] Connected. Negotiating SSL/TLS session.. |
| [R] 150 Opening ASCII data connection for ls / using SSL/TLS. |
| [R] SSL/TLS negotiation successful... |
| [R] TLSv1/SSLv3 encrypted session using cipher AES256-SHA (256 bits) |
| [R] List Complete: 181 bytes in 0.17 seconds (1.04 KBps) |
\======================================================================/

Explicit SSL模式下ftp client <-- server的通訊數(shù)據(jù)，可以看到AUTH SSL之后的指令全部都
已經(jīng)加密，無法看到。對應2.3節(jié)中的傳統(tǒng)通訊過程，這確保了傳輸過程中數(shù)據(jù)無法被竊聽到。
在Implicit SSL模式中，從初始化連接開始的數(shù)據(jù)將全部加密，無法分析，因此此處不摘錄。
/======================================================================\
21:34:22.095241 IP 192.168.0.1.2279 > 192.168.0.3.999: S 1727744887:1727744887(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
0x0000 4500 0030 e6b7 4000 8006 92bb c0a8 0001 E..0..@.........
0x0010 c0a8 0003 08e7 03e7 66fb 4b77 0000 0000 ........f.Kw....
0x0020 7002 ffff 428a 0000 0204 05b4 0101 0402 p...B...........
21:34:22.095576 IP 192.168.0.3.999 > 192.168.0.1.2279: S 3598555607:3598555607(0) ack 1727744888 win 65535 <mss 1460,nop,nop,sackOK> (DF)
0x0000 4500 0030 8d9e 4000 8006 ebd4 c0a8 0003 E..0..@.........
0x0010 c0a8 0001 03e7 08e7 d67d 99d7 66fb 4b78 .........}..f.Kx
0x0020 7012 ffff d223 0000 0204 05b4 0101 0402 p....#..........
21:34:22.095639 IP 192.168.0.1.2279 > 192.168.0.3.999: . ack 1 win 65535 (DF)
0x0000 4500 0028 e6b8 4000 8006 92c2 c0a8 0001 E..(..@.........
0x0010 c0a8 0003 08e7 03e7 66fb 4b78 d67d 99d8 ........f.Kx.}..
0x0020 5010 ffff fee7 0000 P.......
21:34:22.108439 IP 192.168.0.3.999 > 192.168.0.1.2279: P 1:115(114) ack 1 win 65535 (DF)
0x0000 4500 009a 8da4 4000 8006 eb64 c0a8 0003 E.....@....d....
0x0010 c0a8 0001 03e7 08e7 d67d 99d8 66fb 4b78 .........}..f.Kx
0x0020 5018 ffff 5cb5 0000 3232 302d 5468 6973 P...\...220-This
0x0030 2073 6572 7665 7220 6973 2066 6f72 2070 .server.is.for.p
0x0040 7269 7661 7465 2075 7365 206f 6e6c 790d rivate.use.only.
0x0050 0a32 .2
21:34:22.257722 IP 192.168.0.1.2279 > 192.168.0.3.999: . ack 115 win 65421 (DF)
0x0000 4500 0028 e6c1 4000 8006 92b9 c0a8 0001 E..(..@.........
0x0010 c0a8 0003 08e7 03e7 66fb 4b78 d67d 9a4a ........f.Kx.}.J
0x0020 5010 ff8d fee7 0000 P.......
21:34:22.257941 IP 192.168.0.3.999 > 192.168.0.1.2279: P 115:154(39) ack 1 win 65535 (DF)
0x0000 4500 004f 8da7 4000 8006 ebac c0a8 0003 E..O..@.........
0x0010 c0a8 0001 03e7 08e7 d67d 9a4a 66fb 4b78 .........}.Jf.Kx
0x0020 5018 ffff 96b3 0000 3232 3020 506c 6561 P.......220.Plea
0x0030 7365 2065 6e74 6572 2079 6f75 7220 6c6f se.enter.your.lo
0x0040 6769 6e20 6e61 6d65 206e 6f77 2e0d 0a gin.name.now...
21:34:22.264587 IP 192.168.0.1.2279 > 192.168.0.3.999: P 1:11(10) ack 154 win 65382 (DF)
0x0000 4500 0032 e6c2 4000 8006 92ae c0a8 0001 E..2..@.........
0x0010 c0a8 0003 08e7 03e7 66fb 4b78 d67d 9a71 ........f.Kx.}.q
0x0020 5018 ff66 e88e 0000 4155 5448 2053 534c P..f....AUTH.SSL
0x0030 0d0a ..
21:34:22.371140 IP 192.168.0.3.999 > 192.168.0.1.2279: P 154:205(51) ack 11 win 65525 (DF)
0x0000 4500 005b 8dac 4000 8006 eb9b c0a8 0003 E..[..@.........
0x0010 c0a8 0001 03e7 08e7 d67d 9a71 66fb 4b82 .........}.qf.K.
0x0020 5018 fff5 9a03 0000 3233 3420 4155 5448 P.......234.AUTH
0x0030 2043 6f6d 6d61 6e64 204f 4b2e 2049 6e69 .Command.OK..Ini
0x0040 7469 616c 697a 696e 6720 5353 4c20 636f tializing.SSL.co
0x0050 6e6e nn
21:34:22.374945 IP 192.168.0.1.2279 > 192.168.0.3.999: P 11:141(130) ack 205 win 65331 (DF)
0x0000 4500 00aa e6c6 4000 8006 9232 c0a8 0001 E.....@....2....
0x0010 c0a8 0003 08e7 03e7 66fb 4b82 d67d 9aa4 ........f.K..}..
0x0020 5018 ff33 f99a 0000 8080 0103 0100 5700 P..3..........W.
0x0030 0000 2000 0016 0000 1300 000a 0700 c000 ................
0x0040 0066 0000 0700 0005 0000 0405 0080 0300 .f..............
0x0050 8001 ..
21:34:22.375857 IP 192.168.0.3.999 > 192.168.0.1.2279: P 205:1071(866) ack 141 win 65395 (DF)
0x0000 4500 038a 8dad 4000 8006 e86b c0a8 0003 E.....@....k....
0x0010 c0a8 0001 03e7 08e7 d67d 9aa4 66fb 4c04 .........}..f.L.
0x0020 5018 ff73 e356 0000 1603 0100 4a02 0000 P..s.V......J...
0x0030 4603 0140 8283 7da1 8821 775e 7765 a9ee F..@..}..!w^we..
0x0040 18ca e0ab 1b17 461e bf71 515f 6837 5c1a ......F..qQ_h7\.
\======================================================================/

>>4.0<< 總結
FTP的替代應用
如今，如果考慮到其他一些安全的文件傳輸選擇，可能看起來沒有理由再使用FTP了，如SCP或
者SFTP，與FTP應用相似但運用SSH（注：Secure
Shell）來進行驗證和加密，如果你使用一臺基于UNIX的服務器，你可以在命令方式下調(diào)用SCP
或者SFTP，如果你想獲得更多的關于SSH的信息，參考如下URLhttp://www.openssh.com
如果你只是用FTP來更新你的Web頁面，有別的替代應用，稱為WebDAV的新的協(xié)議，WebDAV
是HTTP的擴展，它允許多個用戶共同編輯和維護遠程WEB服務器上的文件，如果想了解WebDAV
的詳細信息，參考http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2518.html

FTP是在70年代設計出來的，那個時候互聯(lián)網(wǎng)還是一個封閉的網(wǎng)絡，網(wǎng)絡安全不是一個大的問
題。當FTP在使用NAT網(wǎng)關、防火墻、CISCO訪問列表的現(xiàn)代網(wǎng)絡環(huán)境中運用的時候，不管你使
用Port模式還是Passive模式，都可能產(chǎn)生一些問題，F(xiàn)TP在公網(wǎng)上作為一些關鍵應用的文件傳
輸手段可能就是一個錯誤；當然近年很多人為了是FTP協(xié)議更加安全進行了不懈的努力，這些
努力卻使對于FTP的排錯更加復雜，而且都沒有解決FTP最大的問題，即明文傳輸用戶名和口令
。有許多應用可以替代FTP，如SCP，SFTP或者WebDAV。

以上為原文總結，本文下半部分補充了ftp自身的安全擴展，使用SSL/TLS進行ftp傳輸過程的
驗證和加密，良好的實現(xiàn)了與傳統(tǒng)ftp協(xié)議的兼容性和優(yōu)良的數(shù)據(jù)保密性與完整性。在無法使用
替代服務的環(huán)境下，是一種非常好的ftp服務改進計劃。

略有不足的是，由于歷史兼容性因素，很多ftp client和server對ssl ftp擴展的實現(xiàn)都存在
著各種缺陷，例如加密算法不足，指令順序有錯誤等等，這可能會引起一些安全保護級別的削弱。
1, 由于沒有良好的PKI體系支撐，很多ftp server的證書合法性無法得到驗證，可能存在無法
信任或被偽造的可能；
2, 由于Explicit SSL模式的歷史兼容問題，AUTH指令和USER/PASS指令序列的優(yōu)先級沒有明確
約定，可能存在指令序列錯誤造成信息泄露的問題；
3, 由于SSL自身體系的一些問題，可能受到證書泄露，偽造，或SSL中間人攻擊;
4, 在不完整的CA或PKI體系下，只能夠采用自簽名證書，這時SSL ftp得到的安全性提高僅僅
是通訊過程加密，并無法完成身份認證的功能。

當然，排除無法實現(xiàn)身份認證功能和略微的實現(xiàn)缺陷，ssl ftp仍然是一種優(yōu)秀的ftp服務安全加強
措施。

>>5.0<< 參考

ftp協(xié)議簇
http://www.ietf.org/rfc/rfc959.txt
http://www.ietf.org/rfc/rfc1579.txt

ftp安全擴展
http://www.ietf.org/rfc/rfc2228.txt
http://www.ietf.org/rfc/rfc2246.txt

ftp安全擴展，SSL接口草案:
http://www.ietf.org/internet-drafts/draft-murray-auth-ftp-ssl-13.txt

ssl/tls協(xié)議規(guī)范:

上一頁 1 2 3 4 56 下一頁閱讀全文