FTP原理介紹

轉(zhuǎn)自http://blog.sina.com.cn/s/blog_53345c320100b5g0.html

 ( 一)、ftp的port和pasv模式的工作方式

    FTP使用2個(gè)TCP端口，首先是建立一個(gè)命令端口（控制端口），然后再產(chǎn)生一個(gè)數(shù)據(jù)端口。國(guó)內(nèi)很多教科書都講ftp使用21命令端口和20數(shù)據(jù)端口，這個(gè)應(yīng)該是教書更新太慢的原因吧。實(shí)際上FTP分為主動(dòng)模式和被動(dòng)模式兩種，ftp工作在主動(dòng)模式使用tcp 21和20兩個(gè)端口，而工作在被動(dòng)模式會(huì)工作在大于1024隨機(jī)端口。FTP最權(quán)威的參考見RFC 959，有興趣的朋友可以仔細(xì)閱讀ftp://nic.merit.edu/documents/rfc/rfc0959.txt的文檔了解FTP詳細(xì)工作模式和命令。目前主流的FTP Server服務(wù)器模式都是同時(shí)支持port和pasv兩種方式，但是為了方便管理安全管理防火墻和設(shè)置ACL了解FTP Server的port和pasv模式是很有必要的。

1.1   ftp port模式（主動(dòng)模式）

主動(dòng)方式的FTP是這樣的：

1．                 客戶端從一個(gè)任意的非特權(quán)端口N（N>1024）連接到FTP服務(wù)器的命令端口(即tcp 21端口)。

2．                 緊接著客戶端開始監(jiān)聽端口N+1，并發(fā)送FTP命令“port N+1”到FTP服務(wù)器。

3．                 最后服務(wù)器會(huì)從它自己的數(shù)據(jù)端口（20）連接到客戶端指定的數(shù)據(jù)端口（N+1），這樣客戶端就可以和ftp服務(wù)器建立數(shù)據(jù)傳輸通道了。

針對(duì)FTP服務(wù)器前面的防火墻來說，必須允許以下通訊才能支持主動(dòng)方式FTP：

1、客戶端口>1024端口到FTP服務(wù)器的21端口 （入：客戶端初始化的連接 S<-C）

2、FTP服務(wù)器的21端口到客戶端>1024的端口（出：服務(wù)器響應(yīng)客戶端的控制端口 S->C）

3、FTP服務(wù)器的20端口到客戶端>1024的端口（出:服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口 S->C）

4、客戶端>1024端口到FTP服務(wù)器的20端口（入：客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口 S<-C）

我的服務(wù)器192.168.10.1在H3C 8500的GigabitEthernet 2/1/10 我就在2/1/10創(chuàng)建in acl策略允許ftp 主動(dòng)模式其他禁止：

rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024

rule permit tcp source 192.168.10.1 0 source-port eq 20 destination-port gt 1024

rele deny ip

1.2 ftp pasv模式（被動(dòng)模式）

在被動(dòng)方式FTP中，命令連接和數(shù)據(jù)連接都由客戶端。

當(dāng)開啟一個(gè)FTP連接時(shí)，客戶端打開兩個(gè)任意的非特權(quán)本地端口（N > 1024和N+1）。

第一個(gè)端口連接服務(wù)器的21端口，但與主動(dòng)方式的FTP不同，客戶端不會(huì)提交PORT命令并允許服務(wù)器來回連它的數(shù)據(jù)端口，而是提交 PASV命令。

這樣做的結(jié)果是服務(wù)器會(huì)開啟一個(gè)任意的非特權(quán)端口（P > 1024），并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來傳送數(shù)據(jù)。

對(duì)于服務(wù)器端的防火墻來說，必須允許下面的通訊才能支持被動(dòng)方式的FTP:

1、客戶端>1024端口到服務(wù)器的21端口（入：客戶端初始化的連接 S<-C）

2、服務(wù)器的21端口到客戶端>1024的端口（出：服務(wù)器響應(yīng)到客戶端的控制端口的連接 S->C）

3、客戶端>1024端口到服務(wù)器的大于1024端口（入：客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口 S<-C）

4、服務(wù)器的大于1024端口到遠(yuǎn)程的大于1024的端口（出：服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口 S->C）

我的服務(wù)器192.168.10.1在H3C 8500的GigabitEthernet 2/1/10 我就在2/1/10創(chuàng)建in acl策略允許ftp 主動(dòng)模式其他禁止：

rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024

rule permit tcp source 192.168.10.1 0 source-port gt 1024 destination-port gt 1024

rele deny ip

二、ftp的port和pasv模式的工作方式

ftp 的port和pasv模式最主要區(qū)別就是數(shù)據(jù)端口連接方式不同，ftp port模式只要開啟服務(wù)器的21和20端口，而ftp pasv需要開啟服務(wù)器大于1024所有tcp端口和21端口。

從網(wǎng)絡(luò)安全的角度來看的話似乎ftp port模式更安全，而ftp pasv更不安全，那么為什么RFC要在ftp port基礎(chǔ)再制定一個(gè)ftp pasv模式呢？其實(shí)RFC制定ftp pasv模式的主要目的是為了數(shù)據(jù)傳輸安全角度出發(fā)的，因?yàn)?/span>ftp port使用固定20端口進(jìn)行傳輸數(shù)據(jù)，那么作為黑客很容使用sniffer等探嗅器抓取ftp數(shù)據(jù)，這樣一來通過ftp port模式傳輸數(shù)據(jù)很容易被黑客竊取，因此使用pasv方式來架設(shè)ftp server是最安全絕佳方案。

如果作為一個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員就會(huì)發(fā)現(xiàn)使用ftp pasv方式會(huì)給網(wǎng)絡(luò)安全很大隱患，那就是ftp pasv需要開啟服務(wù)器tcp大于1024所有端口，這樣對(duì)服務(wù)器的安全保護(hù)是非常不利的。

在此我建議兩種方法來完善FTP Pasv模式的端口開放問題，第一種就是使用弱洞掃描工具比如Xscan找出服務(wù)器開放的端口然后使用acl把端口deny掉，另外一種方法就是使用具有狀態(tài)檢測(cè)防火墻開啟ftp pasv的端口。

    在ftp pasv模式下是使用狀態(tài)檢測(cè)防火墻比acl最大的好處就是使用狀態(tài)檢測(cè)防火墻只要開啟ftp 21端口就可以了，狀態(tài)檢測(cè)防火墻會(huì)檢測(cè)客戶端口連接ftp server的21命令端口，一但檢測(cè)客戶端使用ftp 21命令端口然后就會(huì)允許這個(gè)Session使用ftp服務(wù)器大于1024端口，而其他方式是無法直接訪問ftp服務(wù)器大于1024端口。通過狀態(tài)檢測(cè)防火墻就可以保證ftp 服務(wù)器大于1024端口只對(duì)FTP Session開放了。目前像IPTable、ISA Server 2000/2004/2006、以及主流硬件防火墻都可以支持狀態(tài)檢測(cè)。