`
michaeltangbin
  • 浏览: 271763 次
  • 性别: Icon_minigender_1
  • 来自: 黑龙江省
社区版块
存档分类
最新评论

什么是FTP?FTP端口号是多少?FTP的端口号能改吗?ftp的端口号20、21有何区别?ftp命令?...

阅读更多

什么是FTP?

FTP就是文件传输协议 File Transfer Protocol 的缩写.

FTP端口号是多少?

21

FTP的端口号能改吗?

ftp的端口号20、21有何区别?

一个是数据端口,一个是控制端口,控制端口一般为21,而数据端口不一定是20,这和FTP的应用模式有关,如果是主动模式,应该为20,如果为被动模式,由服务器端和客户端协商而定

FTP Port模式和FTP Passive模式

  当你对一个FTP问题进行排错时候,你首先要问的一个问题是使用的是port模式的还是passive 模式。因为这两种行为迥异,所以这两种模式引起的问题也不同;在过去,客户端缺省为active(port)模式;近来,由于Port模式的安全问题,许多客户端的FTP应用缺省为Passive模式。

  >>2.1 FTP Port模式

  Port模式的FTP步骤如下:

1、 客户端发送一个TCP SYN(TCP同步)包给服务器段众所周知的FTP控制端口21,客户端使用暂时的端口作为它的源端口;

2、 服务器端发送SYN ACK(同步确认)包给客户端,源端口为21,目的端口为客户端上使用的暂时端口;

3、 客户端发送一个ACK(确认)包;客户端使用这个连接来发送FTP命令,服务器端使用这个连接来发送FTP应答;

4、 当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求,客户端软件使用PORT命令,这个命令包含了一个暂时的端口,客户端希望服务器在打开一个数据连接时候使用这个暂时端口;PORT命令也包含了一个IP地址,这个IP地址通常是客户自己的IP地址,而且FTP也支持第三方(third-party)模式,第三方模式是客户端告诉服务器端打开与另台主机的连接;

5、 服务器端发送一个SYN包给客户端的暂时端口,源端口为20,暂时端口为客户端在PORT命令中发送给服务器端的暂时端口号;

6、 客户端以源端口为暂时端口,目的端口为20发送一个SYN ACK包;

7、 服务器端发送一个ACK包;

8、 发送数据的主机以这个连接来发送数据,数据以TCP段(注:segment,第4层的PDU)形式发送(一些命令,如STOR表示客户端要发送数据,RETR表示服务器段发送数据),这些TCP段都需要对方进行ACK确认(注:因为TCP协议是一个面向连接的协议)

9、 当数据传输完成以后,发送数据的主机以一个FIN命令来结束数据连接,这个FIN命令需要另一台主机以ACK确认,另一台主机也发送一个FIN命令,这个FIN命令同样需要发送数据的主机以ACK确认;

10、 客户端能在控制连接上发送更多的命令,这可以打开和关闭另外的数据连接;有时候客户端结束后,客户端以FIN命令来关闭一个控制连接,服务器端以ACK包来确认客户端的FIN,服务器同样也发送它的FIN,客户端用ACK来确认。

下图图示了FTP PORT模式前几步步骤:
/====================================================================\
| |
| [ ftp Client ] [ ftp Server ] |
| |
| (TCP:21 连接初始化,控制端口) |
| SYN |
| Port xxxx ----------------------> Port 21 [TCP] |
| SYN+ACK |
| Port xxxx <---------------------- Port 21 |
| ACK |
| Port xxxx ----------------------> Port 21 |
| |
| (控制操作: 用户列目录或传输文件) |
| |
| Port, IP, Port yyyy |
| Port xxxx <---------------------- Port 21 |
| Port Seccussful |
| Port xxxx <---------------------- Port 21 |
| List, Retr or Stor |
| Port xxxx ----------------------> Port 21 |
| |
| |
| (TCP:20 连接初始化,数据端口) |
| SYN |
| Port yyyy <---------------------- Port 20 |
| SYN+ACK |
| Port yyyy ----------------------> Port 20 |
| ACK |
| Port yyyy <---------------------- Port 20 |
| |
| |
| (数据操作: 数据传输) |
| Data + ACK |
| Port yyyy <---------------------> Port 20 |
| . |
| . |
| . |
| |
\====================================================================/

  FTP Port模式会给网络管理人员在许多方面带来很多问题,首先,在PORT命令消息中的IP地址和端口号的编码不是直白地显示。另外,应用层的协议命令理论上不应该包含网络地址信息(注:IP地址),因为这打破了协议层的原则并且可能导致协同性和安全性方面的问题。

  下图是WildPackets EtherPeek协议分析仪解码了PORT命令的地址参数,地址参数后是端口号,见PORT192,168,10,232,6,127;6,127部分的第一个阿拉伯数字乘以256,然后加上第2个阿拉伯数字就得到端口号,所以客户端指定了端口号为6*256+127=1663;
/====================================================================\
| IP Header - Internet Protocol Datagram |
| Version: 4 |
| Header Length: 5 (20 bytes) |
| |
| ............... |
| |
| Time To Live: 128 |
| Protocol: 6 TCP - Transmission Control Protocol |
| Header Checksum: 0xAA36 |
| Source IP Address: 192.168.0.1 DEMO |
| Dest. IP Address: 192.168.0.3 VI |
| No IP Options |
| |
| TCP - Transport Control Protocol |
| Source Port: 2342 manage-exec |
| Destination Port: 21 ftp |
| Sequence Number: 2435440100 |
| Ack Number: 9822605 |
| Offset: 5 (20 bytes) |
| Reserved: %000000 |
| Flags: %011000 |
| 0. .... (No Urgent pointer) |
| .1 .... Ack |
| .. 1... Push |
| .. .0.. (No Reset) |
| .. ..0. (No SYN) |
| .. ...0 (No FIN) |
| |
| Window: 65150 |
| Checksum: 0x832A |
| Urgent Pointer: 0 |
| No TCP Options |
| |
| FTP Control - File Transfer Protocol |
| Line 1: PORT 192,168,0,1,9,39<CR><LF> |
| |
| FCS - Frame Check Sequence |
| FCS (Calculated): 0xF4C04A4F |
\====================================================================/

下图验证了服务器端的确从端口20打开到端口1663的TCP连接:
/====================================================================\
| TCP - Transport Control Protocol |
| Source Port: 20 ftp-data |
| Destination Port: 1663 |
| Sequence Number: 2578824336 |
| Ack Number: 0 |
| Offset: 6 (24 bytes) |
| Reserved: %000000 |
| Flag

 

s: %000010 |
| 0. .... (No Urgent pointer) |
| .0 .... (No Ack) |
| .. 0... (No Push) |
| .. .0.. (No Reset) |
| .. ..1. SYN |
| .. ...0 (No FIN) |
| |
| Window: 3731 |
| Checksum: 0x8A4C |
| Urgent Pointer: 0 |
| No TCP Options |
| |
| TCP Options |
| Options Type: 2 Maxinum Segment Size |
| Length: 4 |
| MSS: 1460 |
| |
| FCS - Frame Check Sequence |
| FCS (Calculated): 0x5A1BD023 |
\====================================================================/

  当使用FTP时候,网络中的防火墙必须要声明相应的端口,防火墙必须要跟踪FTP对话然后检查PORT命令,防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程。

  如果网络中使用了NAT(注:网络地址翻译),那么NAT的网关同样也需要声明相应的端口,网关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址,然后重新计算TCP的Checksum ;如果网关没有正确地执行这个操作,FTP就失败了。

  黑客可能会利用FTP支持第三方特性这一特点,在PORT命令中设置IP地址和端口号参数来指定一台目标主机的地址和端口号(有时候称这种攻击为FTP反弹攻击),例如黑客可以让一台FTP服务器不断地从它的源端口20发送TCP SYN包给一系列目的端口,让FTP服务器看起来正在进行端口扫描,目的主机不知道攻击来自黑客的主机,看起来攻击象是来自FTP服务器。一些常用的FTP应用在PORT命令中设置地址为0.0.0.0,这样做的意图是让FTP服务器只需要与打开控制连接
的相同客户进行数据连接,设置地址为0.0.0.0可能会让防火墙不知所措。例如,CISCO PIX IOS6.0以上版本的PIX(注:CISCO硬件防火墙设备,6.0以上版本为其修正了相关的FTP协议)要求数据连接的IP地址与已经存在的控制连接的IP地址必须相同。这样做的原因是防止黑客用PORT命令来攻击别的机器,虽然一些FTP应用设置IP地址为0.0.0.0不是有意图的攻击,但在PIX修正协议环境下的确引起了一些问题,同时对其他不允许第三方模式和避免FTP反弹攻击的防火墙来说,这也会引起相同的问题。

>>2.2 FTP Passive模式

  下面的列表描述了Passive模式的FTP的步骤,步骤1到3和Port模式FTP相同,步骤9到11同样与Port模式FTP最后三步相同。

1、客户端发送一个TCP SYN(TCP同步)包给服务器段众所周知的FTP控制端口21,客户端使用暂时的端口作为它的源端口;

2、服务器端发送SYN ACK(同步确认)包给客户端,源端口为21,目的端口为客户端上使用的暂时端口;

3、客户端发送一个ACK(确认)包;客户端使用这个连接来发送FTP命令,服务器端使用这个连接来发送FTP应答;

4、当用户请求一个列表(List)或者发送或接收文件时候,客户端软件发送PASV命令给服务器端表明客户端希望进入Passive模式;

5、服务器端进行应答,应答包括服务器的IP地址和一个暂时的端口,这个暂时的端口是客户端在打开数据传输连接时应该使用的端口;

6、客户端发送一个SYN包,源端口为客户端自己选择的一个暂时端口,目的端口为服务器在PASV应答命令中指定的暂时端口号;

7、服务器端发送SYN ACK包给客户端,目的端口为客户端自己选择的暂时端口,源端口为PASV应答中指定的暂时端口号;

8、客户端发送一个ACK包;

9、发送数据的主机以这个连接来发送数据,数据以TCP段(注:segment,第4层的PDU)形式发送(一些命令,如STOR表示客户端要发送数据,RETR表示服务器段发送数据),这些TCP段都需要对方进行ACK确认;

10、当数据传输完成以后,发送数据的主机以一个FIN命令来结束数据连接,这个FIN命令需要另一台主机以ACK确认,另一台主机也发送一个FIN命令,这个FIN命令同样需要发送数据的主机以ACK确认;

11、客户端能在控制连接上发送更多的命令,这可以打开和关闭另外的数据连接;有时候客户端结束后,客户端以FIN命令来关闭一个控制连接,服务器端以ACK包来确认客户端的FIN,服务器同样也发送它的FIN,客户端用ACK来确认。

...

...

 >>5.0<< 参考

ftp协议簇
http://www.ietf.org/rfc/rfc959.txt
http://www.ietf.org/rfc/rfc1579.txt

ftp安全扩展
http://www.ietf.org/rfc/rfc2228.txt
http://www.ietf.org/rfc/rfc2246.txt

ftp安全扩展,SSL接口草案:
http://www.ietf.org/internet-drafts/draft-murray-auth-ftp-ssl-13.txt

ssl/tls协议规范:
http://www.ietf.org/rfc/rfc2246.txt

OpenSSL,一个广为应用的SSL实现:
http://www.openssl.org

支持ssl ftp的ftp client:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext_col.html#client

支持ssl ftp的ftp server:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext_col.html#server

FTP协议

TCP/IP协议中,FTP标准命令TCP端口号为21,Port方式数据端口为20。FTP协议的任务是从一台计算机将文件传送到另一台计算机,它与这两台计算机所处的位置、联接的方式、甚至是是否使用相同的操作系统无关。假设两台计算机通过ftp协议对话,并且能访问Internet, 你可以用ftp命令来传输文件。每种操作系统使用上有某一些细微差别,但是每种协议基本的命令结构是相同的。
  FTP的传输有两种方式:ASCII传输模式和二进制数据传输模式
  1.ASCII传输方式:假定用户正在拷贝的文件包含的简单ASCII码文本,如果在远程机器上运行的不是UNIX,当文件传输时ftp通常会自动地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。
但是常常有这样的情况,用户正在传输的文件包含的不是文本文件,它们可能是程序,数据库,字处理文件或者压缩文件(尽管字处理文件包含的大部分是文本,其中也包含有指示页尺寸,字库等信息的非打印字符)。在拷贝任何非文本文件之前,用binary 命令告诉ftp逐字拷贝,不要对这些文件进行处理,这也是下面要讲的二进制传输。
  2.二进制传输模式:在二进制传输中,保存文件的位序,以便原始和拷贝的是逐位一一对应的。即使目的地机器上包含位序列的文件是没意义的。例如,macintosh以二进制方式传送可执行文件到Windows系统,在对方系统上,此文件不能执行。
  如果你在ASCII方式下传输二进制文件,即使不需要也仍会转译。这会使传输稍微变慢 ,也会损坏数据,使文件变得不能用。(在大多数计算机上,ASCII方式一般假设每一字符的第一有效位无意义,因为ASCII字符组合不使用它。如果你传输二进制文件,所有的位都是重要的。)如果你知道这两台机器是同样的,则二进制方式对文本文件和数据文件都是有效的。
  5. FTP的工作方式
  FTP支持两种模式,一种方式叫做Standard (也就是 PORT方式,主动方式),一种是 Passive (也就是PASV,被动方式)。 Standard模式 FTP的客户端发送 PORT 命令到FTP服务器。Passive模式FTP的客户端发送 PASV命令到 FTP Server。
  下面介绍一个这两种方式的工作原理:
  Port模式FTP 客户端首先和FTP服务器的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。
  Passive模式在建立控制通道的时候和Standard模式类似,但建立连接后发送的不是Port命令,而是Pasv命令。FTP服务器收到Pasv命令后,随机打开一个高端端口(端口号大于1024)并且通知客户端在这个端口上传送数据的请求,客户端连接FTP服务器此端口,然后FTP服务器将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接。
  很多防火墙在设置的时候都是不允许接受外部发起的连接的,所以许多位于防火墙后或内网的FTP服务器不支持PASV模式,因为客户端无法穿过防火墙打开FTP服务器的高端端口;而许多内网的客户端不能用PORT模式登陆FTP服务器,因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接,造成无法工作。

分享到:
评论

相关推荐

    linux修改ftp、telnet、ssh的默认端口.docx

    Linux 操作系统中,FTP、Telnet、SSH 是三个常用的网络服务,但是它们的默认端口号都是固定的,FTP 是 21,Telnet 是 23,SSH 是 22。这三个端口号都是众所周知的,因而容易受到黑客攻击。为了提高系统的安全性,...

    传输文件服务ftp的端口号.docx

    FTP 端口号详解 FTP(File Transfer Protocol,文件传输协议)是一种常用的网络文件传输协议,它允许用户在远程服务器上存储和检索文件。FTP 协议使用 TCP 协议进行数据传输,使用 21 号端口作为默认端口号。 FTP ...

    ftp端口防火墙怎么样设置.docx

    因此,在设置ftp端口防火墙时,需要开放20和21端口,以确保ftp服务器的安全。此外,还需要在防火墙里面把高于1024的端口给开放,才能确保ftp服务器的安全。 ftp用户分类 在ftp服务器中,用户可以分为三类:real...

    C#实现FTP端口21扫描

    端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到...

    ftp.zip_FTP CLIENT_ftp_ftp ?_uploader

    1. **连接**:用户通过FTP客户端输入服务器的地址(IP地址或域名)、端口号(通常是21)以及登录凭据(用户名和密码)。客户端与服务器建立TCP连接。 2. **身份验证**:用户认证后,客户端与服务器之间可以进行命令...

    TCPIP端口号大全

    11. ftp 服务(ftp):端口号 21 ftp 服务是文件传输协议(FTP)的控制端口,用于传输文件和目录信息。 12. ssh 服务(ssh):端口号 22 ssh 服务是安全 Shell(SSH)协议的控制端口,用于远程登录和文件传输。 ...

    FTP密码修改工具

    2. 连接服务器:运行该程序,输入FTP服务器的地址、当前用户名和密码,以及可能需要的端口号(默认是21)。 3. 修改密码:在指定的界面中输入新的密码,为了安全起见,建议选择一个复杂且不易被猜测的密码,包含大...

    各种服务的端口号

    端口号20主要用于FTP(File Transfer Protocol)的数据传输通道,而Amandaݴʹ则可能是指备份软件Amanda的相关功能。 #### FTP (21) 端口号21是FTP的主要控制端口,用于传输文件列表和命令。 #### SSH (22) 端口号22...

    麒麟V10服务器搭建FTP服务

    FTP协议使用TCP协议作为传输层协议,使用21号端口作为默认端口号。 1.4 FTP账户分类 FTP账户可以分为三类:匿名用户、实体用户和虚拟用户。匿名用户不需要密码登录,实体用户需要提供用户名和密码登录,虚拟用户是...

    FTP修改密码工具

    FTP有两种主要的工作模式:主动模式和被动模式。主动模式中,客户端打开一个端口来接收来自服务器的数据,而在被动模式下,服务器会打开一个随机端口来连接到客户端,以避免防火墙问题。 FTP修改密码是必要的,因为...

    ftp.rar_ftpput_ftpput ftpget_实现ftpget与ftpput功能

    1. 建立连接:客户端通过TCP连接到FTP服务器的21号端口,完成控制通道的建立。 2. 用户认证:客户端发送用户名和密码给服务器,完成身份验证。 3. 选择模式:客户端可以选择主动模式或被动模式。在主动模式下,...

    ftp常用命令实验

    * 设置FTP服务器的端口号默认为21。 * 创建用户和设置权限:可以设置不同的用户权限,包括上传、下载、文件和目录命名等。 FTP客户端操作 * 使用IE浏览器登录FTP服务器的方法是输入`ftp://用户名:密码@FTP服务器IP...

    ftp搭建并实现http访问

    - 打开FTPServer的配置文件,通常位于`C:\Program Files (x86)\ftpserver\conf`目录下的`ftpserver.conf`。 - 在配置文件中,添加或修改用户账户、虚拟路径等信息。例如,添加一个名为"myuser"的用户,分配一个...

    美能达C266FTP扫描设置+FTP工具

    这通常涉及到选择合适的FTP软件(如FileZilla Server或Serv-U),设定用户账户和权限,以及设置相应的端口号(默认为21)。 2. **复合机配置**:在美能达C266上,进入设备的网络设置菜单,找到“FTP扫描”选项。在...

    常用端口号大全[参考].pdf

    FTP 的默认端口号是 21,但 FTP 也可以使用其他端口号,例如 20。FTP 端口号的选择取决于 FTP 的应用模式,如果是主动模式,通常使用 20 端口,如果是被动模式,端口号由服务器端和客户端协商。 在计算机网络中,...

    FTP服务器FTP服务器

    FTP(File Transfer Protocol)是互联网上一种用于在不同计算机之间传输文件的标准协议。FTP服务器是运行FTP服务的软件,允许用户从远程位置上传、下载文件,或者进行其他文件管理操作。在本文中,我们将深入探讨FTP...

    迷你FTP服务器,非常小的一个FTP服务器,只有33KB

    迷你FTP服务器是一款轻量级的网络工具,专为那些对空间和资源有限制的环境设计。标题中的"迷你FTP服务器,非常小的一个FTP服务器,只有33KB"明确指出这款软件体积极小,只有33KB,这在FTP服务器领域是相当罕见的,...

    FTP被动模式分析,ftp抓包分析

    个个端口向服务器的FTP 端口(默认为21)发出连接请求,服务器接受请求之后会建立 一条控制链路,然后客户程序向服务器发出Port 命令(通常格式为PORT A1, A2, A3, A4, P1,P2,其中A1,A2,A3,A4 为客户端IP 地址,...

Global site tag (gtag.js) - Google Analytics