`
feidi
  • 浏览: 120724 次
社区版块
存档分类
最新评论

FTP协议的分析和扩展

阅读更多
>>1.0<< FTP和TCP端口号
根据是使用Port模式还是Passive模式,FTP使用不同的TCP端口号,在详细描述FTP前,我们来
简单讨论一下TCP端口号的一些基本概念。TCP使用端口号来标识所发送和接收的应用,端口号
可以帮助TCP来分离字节流并且帮相应字节传递给正确的应用程序。
TCP端口号可以是半永久的和暂时的。服务器端监听在半永久的端口上来让客户端访问。客户
端使用暂时的端口在本地标识一个对话,客户端端口只在使用TCP服务时候才存在,而服务器
端口只要服务器在运行就一直在监听。

TCP端口可以归为3类:
1、众所周知的端口来标识在TCP上运行的标准服务,包括FTP、HTTP、TELNET、SMTP等,这些
     端口号码范围为0-1023;
2、注册端口号用来标识那些已经向IANA(Internet Assigned Numbers Assigned Numbers
     Authority)注册的应用,注册端口号为1024-49151;
3、私有端口号是非注册的并且可以动态地分配给任何应用,私有端口为49152-65535;
      注册的端口号本来打算只给注册的应用使用,可近年来端口号已经陷入了到达极限的困境,你
     可能会看到本来应该是给注册应用使用的注册端口被非注册应用用做暂时的端口。RFC1700详
     细标注了众所周知的和注册的端口号,然而不幸的是,这个RFC文档自从1994年以来一直没有
     被更新,然后你仍可以从IANA得到一个及时更新的端口列表,详细URL为:
     http://www.iana.org/assignments/port-numbers




>>2.0<< FTP Port模式和FTP Passive模式
当你对一个FTP问题进行排错时候,你首先要问的一个问题是使用的是port模式的还是passive
模式。因为这两种行为迥异,所以这两种模式引起的问题也不同;在过去,客户端缺省为acti
ve(port)模式;近来,由于Port模式的安全问题,许多客户端的FTP应用缺省为Passive模式。

>>2.1  FTP Port模式
Port模式的FTP步骤如下:
1、 客户端发送一个TCP SYN(TCP同步)包给服务器段众所周知的FTP控制端口21,客户端
      使用暂时的端口作为它的源端口;
2、 服务器端发送SYN ACK(同步确认)包给客户端,源端口为21,目的端口为客户端上使用
      的暂时端口;
3、 客户端发送一个ACK(确认)包;客户端使用这个连接来发送FTP命令,服务器端使用这个
      连接来发送FTP应答;
4、 当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求,客户端软件使用
      PORT命令,这个命令包含了一个暂时的端口,客户端希望服务器在打开一个数据连接时候使用
      这个暂时端口;PORT命令也包含了一个IP地址,这个IP地址通常是客户自己的IP地址,而且FT
      P也支持第三方(third-party)模式,第三方模式是客户端告诉服务器端打开与另台主机的连接;
5、 服务器端发送一个SYN包给客户端的暂时端口,源端口为20,暂时端口为客户端在PORT命令中
      发送给服务器端的暂时端口号;
6、 客户端以源端口为暂时端口,目的端口为20发送一个SYN ACK包;
7、 服务器端发送一个ACK包;
8、 发送数据的主机以这个连接来发送数据,数据以TCP段(注:segment,第4层的PDU)形式发送(
      一些命令,如STOR表示客户端要发送数据,RETR表示服务器段发送数据),这些TCP段都需要
      对方进行ACK确认(注:因为TCP协议是一个面向连接的协议)
9、 当数据传输完成以后,发送数据的主机以一个FIN命令来结束数据连接,这个FIN命令需要另一
      台主机以ACK确认,另一台主机也发送一个FIN命令,这个FIN命令同样需要发送数据的主机以A
      CK确认;
10、 客户端能在控制连接上发送更多的命令,这可以打开和关闭另外的数据连接;有时候客户端结
      束后,客户端以FIN命令来关闭一个控制连接,服务器端以ACK包来确认客户端的FIN,服务器
      同样也发送它的FIN,客户端用ACK来确认。

下图图示了FTP PORT模式前几步步骤:
/====================================================================\
|                                                                    |
|       [ ftp Client ]                       [ ftp Server ]          |
|                                                                    |
|       (TCP:21 连接初始化,控制端口)                                    |
|                              SYN                                   |
|        Port xxxx   ---------------------->    Port 21       [TCP]  |
|                             SYN+ACK                                |
|        Port xxxx   <----------------------    Port 21              |
|                              ACK                                   |
|        Port xxxx   ---------------------->    Port 21              |
|                                                                    |
|       (控制操作: 用户列目录或传输文件)                                 |
|                                                                    |
|                       Port, IP, Port yyyy                          |
|        Port xxxx   <----------------------    Port 21              |
|                       Port Seccussful                              |
|        Port xxxx   <----------------------    Port 21              |
|                       List, Retr or Stor                           |
|        Port xxxx   ---------------------->    Port 21              |
|                                                                    |
|                                                                    |
|        (TCP:20 连接初始化,数据端口)                                   |
|                               SYN                                  |
|        Port yyyy   <----------------------    Port 20              |
|                            SYN+ACK                                 |
|        Port yyyy   ---------------------->    Port 20              |
|                               ACK                                  |
|        Port yyyy   <----------------------    Port 20              |
|                                                                    |
|                                                                    |
|        (数据操作: 数据传输)                                           |
|                           Data + ACK                               |
|        Port yyyy   <--------------------->    Port 20              |
|                               .                                    |
|                               .                                    |
|                               .                                    |
|                                                                    |
\====================================================================/

FTP Port模式会给网络管理人员在许多方面带来很多问题,首先,在PORT命令消息中的IP地址和端
口号的编码不是直白地显示。另外,应用层的协议命令理论上不应该包含网络地址信息(注:
IP地址),因为这打破了协议层的原则并且可能导致协同性和安全性方面的问题。

下图是WildPackets EtherPeek协议分析仪解码了PORT命令的地址参数,地址参数后是端口号,见PORT
192,168,10,232,6,127;6,127部分的第一个阿拉伯数字乘以256,然后加上第2个阿拉伯数字
就得到端口号,所以客户端指定了端口号为6*256+127=1663;
/====================================================================\
| IP Header - Internet Protocol Datagram                             |
|   Version:              4                                          |
|   Header Length:        5  (20  bytes)                             |
|                                                                    |
|   ...............                                                  |
|                                                                    |
|   Time To Live:         128                                        |
|   Protocol:             6  TCP - Transmission Control Protocol     |
|   Header Checksum:      0xAA36                                     |
|   Source IP Address:    192.168.0.1  DEMO                          |
|   Dest. IP Address:     192.168.0.3  VI                            |
|   No IP Options                                                    |
|                                                                    |
| TCP - Transport Control Protocol                                   |
|   Source Port:          2342  manage-exec                          |
|   Destination Port:     21  ftp                                    |
|   Sequence Number:      2435440100                                 |
|   Ack Number:           9822605                                    |
|   Offset:               5  (20  bytes)                             |
|   Reserved:             %000000                                    |
|   Flags:                %011000                                    |
|                         0. .... (No Urgent pointer)                |
|                         .1 .... Ack                                |
|                         .. 1... Push                               |
|                         .. .0.. (No Reset)                         |
|                         .. ..0. (No SYN)                           |
|                         .. ...0 (No FIN)                           |
|                                                                    |
|   Window:               65150                                      |
|   Checksum:             0x832A                                     |
|   Urgent Pointer:       0                                          |
|   No TCP Options                                                   |
|                                                                    |
| FTP Control - File Transfer Protocol                               |
|   Line  1:              PORT 192,168,0,1,9,39<CR><LF>              |
|                                                                    |
| FCS - Frame Check Sequence                                         |
|   FCS (Calculated):     0xF4C04A4F                                 |
\====================================================================/

下图验证了服务器端的确从端口20打开到端口1663的TCP连接:
/====================================================================\
| TCP - Transport Control Protocol                                   |
|   Source Port:          20  ftp-data                               |
|   Destination Port:     1663                                       |
|   Sequence Number:      2578824336                                 |
|   Ack Number:           0                                          |
|   Offset:               6  (24  bytes)                             |
|   Reserved:             %000000                                    |
|   Flags:                %000010                                    |
|                         0. .... (No Urgent pointer)                |
|                         .0 .... (No Ack)                           |
|                         .. 0... (No Push)                          |
|                         .. .0.. (No Reset)                         |
|                         .. ..1. SYN                                |
|                         .. ...0 (No FIN)                           |
|                                                                    |
|   Window:               3731                                       |
|   Checksum:             0x8A4C                                     |
|   Urgent Pointer:       0                                          |
|   No TCP Options                                                   |
|                                                                    |
| TCP Options                                                        |
|   Options Type:         2   Maxinum Segment Size                   |
|   Length:               4                                          |
|   MSS:                  1460                                       |
|                                                                    |
| FCS - Frame Check Sequence                                         |
|   FCS (Calculated):     0x5A1BD023                                 |
\====================================================================/

当使用FTP时候,网络中的防火墙必须要声明相应的端口,防火墙必须要跟踪FTP对话然后检查
PORT命令,防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程。
如果网络中使用了NAT(注:网络地址翻译),那么NAT的网关同样也需要声明相应的端口,网
关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址,然后重新计算TCP的Checksum
;如果网关没有正确地执行这个操作,FTP就失败了。

黑客可能会利用FTP支持第三方特性这一特点,在PORT命令中设置IP地址和端口号参数来指定
一台目标主机的地址和端口号(有时候称这种攻击为FTP反弹攻击),例如黑客可以让一台FTP
服务器不断地从它的源端口20发送TCP SYN包给一系列目的端口,让FTP服务器看起来正在进行
端口扫描,目的主机不知道攻击来自黑客的主机,看起来攻击象是来自FTP服务器。一些常用的
FTP应用在PORT命令中设置地址为0.0.0.0,这样做的意图是让FTP服务器只需要与打开控制连接
的相同客户进行数据连接,设置地址为0.0.0.0可能会让防火墙不知所措。例如,CISCO PIX IOS
6.0以上版本的PIX(注:CISCO硬件防火墙设备,6.0以上版本为其修正了相关的FTP协议)
要求数据连接的IP地址与已经存在的控制连接的IP地址必须相同。这样做的原因是防止黑客用
PORT命令来攻击别的机器,虽然一些FTP应用设置IP地址为0.0.0.0不是有意图的攻击,但在PI
X修正协议环境下的确引起了一些问题,同时对其他不允许第三方模式和避免FTP反弹攻击的防
火墙来说,这也会引起相同的问题。

>>2.2  FTP Passive模式
下面的列表描述了Passive模式的FTP的步骤,步骤1到3和Port模式FTP相同,步骤9到11同样与
Port模式FTP最后三步相同。

1、客户端发送一个TCP SYN(TCP同步)包给服务器段众所周知的FTP控制端口21,客户端使
     用暂时的端口作为它的源端口;
2、服务器端发送SYN ACK(同步确认)包给客户端,源端口为21,目的端口为客户端上使用
     的暂时端口;
3、客户端发送一个ACK(确认)包;客户端使用这个连接来发送FTP命令,服务器端使用这个
     连接来发送FTP应答;
4、当用户请求一个列表(List)或者发送或接收文件时候,客户端软件发送PASV命令给服务器端
     表明客户端希望进入Passive模式;
5、服务器端进行应答,应答包括服务器的IP地址和一个暂时的端口,这个暂时的端口是客户端
     在打开数据传输连接时应该使用的端口;
6、客户端发送一个SYN包,源端口为客户端自己选择的一个暂时端口,目的端口为服务器在PASV
     应答命令中指定的暂时端口号;
7、服务器端发送SYN ACK包给客户端,目的端口为客户端自己选择的暂时端口,源端口为PASV
     应答中指定的暂时端口号;
8、客户端发送一个ACK包;
9、发送数据的主机以这个连接来发送数据,数据以TCP段(注:segment,第4层的PDU)形式发送(
     一些命令,如STOR表示客户端要发送数据,RETR表示服务器段发送数据),这些TCP段都需要
     对方进行ACK确认;
10、当数据传输完成以后,发送数据的主机以一个FIN命令来结束数据连接,这个FIN命令需要另一
     台主机以ACK确认,另一台主机也发送一个FIN命令,这个FIN命令同样需要发送数据的主机以A
     CK确认;
11、客户端能在控制连接上发送更多的命令,这可以打开和关闭另外的数据连接;有时候客户端结
     束后,客户端以FIN命令来关闭一个控制连接,服务器端以ACK包来确认客户端的FIN,服务器
     同样也发送它的FIN,客户端用ACK来确认。

下图图示了Passive模式FTP的开始几个步骤:
/====================================================================\
|                                                                    |
|       [ ftp Client ]                       [ ftp Server ]          |
|                                                                    |
|       (TCP:21 连接初始化,控制端口)                                    |
|                              SYN                                   |
|        Port xxxx   ---------------------->    Port 21       [TCP]  |
|                             SYN+ACK                                |
|        Port xxxx   <----------------------    Port 21              |
|                              ACK                                   |
|        Port xxxx   ---------------------->    Port 21              |
|                                                                    |
|       (PASV操作: 被动连接数据端口初始化)                               |
|                                                                    |
|                             PASV                                   |
|        Port xxxx   ---------------------->    Port 21              |
|                     PASV OK, IP, Port yyyy                         |
|        Port xxxx   <----------------------    Port 21              |
|                               SYN                                  |
|        Port zzzz   ---------------------->    Port yyyy            |
|                            SYN+ACK                                 |
|        Port zzzz   <----------------------    Port yyyy            |
|                               ACK                                  |
|        Port zzzz   ---------------------->    Port yyyy            |
|                                                                    |
|                                                                    |
|        (数据操作: 数据传输)                                           |
|                       List, Retr or Stor                           |
|        Port xxxx   ---------------------->    Port 21              |
|                           Data + ACK                               |
|        Port zzzz   <--------------------->    Port yyyy            |
|                               .                                    |
|                               .                                    |
|                               .                                    |
|                                                                    |
\====================================================================/
一个PASV请求要求服务器在服务器选择的一个新的端口上接受数据连接,PASV命令没有任何参
数,服务器端的回应只是一行显示服务器IP地址和服务器接受连接的TCP端口号。

下图显示了服务器对PASV命令的回应,服务器告诉客户端它在端口5365(192,168,179,100,20
,245)上进行监听,计算端口的方法是20*256+245=5365;
/====================================================================\
| TCP - Transport Control Protocol                                   |
|   Source Port:          21  ftp                                    |
|   Destination Port:     1249                                       |
|   Sequence Number:      4239887193                                 |
|   Ack Number:           36925357                                   |
|   Offset:               5  (20  bytes)                             |
|   Reserved:             %000000                                    |
|   Flags:                %011000                                    |
|                         0. .... (No Urgent pointer)                |
|                         .1 .... Ack                                |
|                         .. 1... Push                               |
|                         .. .0.. (No Reset)                         |
|                         .. ..0. (No SYN)                           |
|                         .. ...0 (No FIN)                           |
|                                                                    |
|   Window:               8760                                       |
|   Checksum:             0x3EAB                                     |
|   Urgent Pointer:       0                                          |
|   No TCP Options                                                   |
|                                                                    |
| FTP Control - File Transfer Protocol                               |
|   Line  1:              PASV 192,168,0,1,100,20,245<CR><LF>        |
|                                                                    |
| FCS - Frame Check Sequence                                         |
|   FCS (Calculated):     0xBED4346D                                 |
\====================================================================/
当收到PASV命令的回应后,客户端打开一个TCP连接,源端口为一个暂时的端口,目的端口为
服务器提供的暂时端口。

下图显示了客户端的TCP连接建立过程,正如上面所说,目的端口为5365。
/====================================================================\
| TCP - Transport Control Protocol                                   |
|   Source Port:          1250                                       |
|   Destination Port:     5365&n
分享到:
评论

相关推荐

    【协议分析】【FTP 协议分析】

    尽管存在安全隐患,但通过各种安全扩展和替代协议,如FTPS和SFTP,可以确保文件传输的安全性。理解FTP的工作方式和相关概念对于网络管理员、开发者以及日常用户来说都至关重要,特别是在需要跨网络共享或存储文件时...

    ftp分析和扩展

    ftp协议的分析,以及扩展的内容,如:ssl,帮助了解ftp工具原理。

    计算机网络(FTP协议分析)

    在"计算机网络(FTP协议分析)"的实验报告中,可能包含了对FTP协议实际操作的步骤、遇到的问题、解决方案以及性能分析。源码分析部分可能涵盖了FTP客户端或服务器的实现细节,例如如何处理FTP命令、如何建立和管理...

    ftp.rar_ftp_ftpservernew_协议解析

    通过学习和分析这些代码,开发者可以深入理解FTP协议的工作原理,并掌握如何利用.NET Framework构建自己的FTP服务器。 总的来说,这个资源包是一个很好的学习材料,可以帮助IT专业人士掌握FTP协议解析和Socket编程...

    FTPFILE FTP-FTP源代码分享

    源代码分析是学习任何软件系统的基础,FTPFILE FTP-FTP源代码可以帮助我们了解FTP协议的实际工作原理和实现细节。以下是基于FTP源代码的一些关键知识点: 1. **连接与身份验证**:FTP协议通常使用两个端口——21号...

    郑州轻工业学院 TCP IP协议分析实验报告

    "郑州轻工业学院 TCP IP协议分析实验报告" 本实验报告的目的是为了熟悉 TCP/IP 协议分析,并在 Win2000 网络环境中设置网络服务。实验共分为三部分:对等网的组建、WEB 与 FTP 服务器的构建、DNS 和 DHCP 服务的...

    网络协议分析工具Wireshark的使用

    Wireshark是一款强大的网络协议分析工具,被广泛用于网络故障排查、安全审计和软件开发等领域。它能够捕获网络上的数据包,并以直观的方式显示其详细信息,帮助用户理解网络通信的过程。 一、Wireshark简介 ...

    《网络协议分析》实验指导书

    - **开源与广泛支持**:Ethereal是开源的、应用广泛的网络协议分析工具,支持Linux和Windows平台。 - **可扩展性强**:自1998年发布以来,志愿者为Ethereal添加了大量的新协议解析器,使其支持超过五百种协议解析。 ...

    基于协议分析的入侵检测系统

    协议分析是入侵检测系统的关键组成部分,它涉及到对网络协议如TCP/IP、HTTP、FTP等的深入理解。通过对网络报文的解码和分析,系统可以识别出不寻常的行为模式,例如异常的数据包序列、过高的数据传输速率或未经授权...

    网络协议分析课件-全套

    网络协议分析是理解互联网运作机制的关键,而这些课件提供了全面的网络协议分析知识体系。以下是对各个章节主要内容的详细解读: 1. **第1章 TCP/IP概述**:本章介绍了传输控制协议/因特网协议(TCP/IP)模型,包括...

    iris--网络协议分析软件

    总的来说,Iris网络协议分析软件凭借其全面的功能、易用的操作和强大的分析能力,成为网络通信领域的重要工具。无论是在日常运维、故障排查还是在研究新的网络协议和架构时,Iris都能成为用户的得力助手,提升工作...

    ftpserver,ftpserver源码

    总的来说,FtpServer作为一款纯Java的FTP服务器,它的开源性质为开发者提供了丰富的学习和实践机会,不仅可以用于构建自己的FTP服务,还能够作为研究FTP协议和服务器实现的参考。对FtpServer源码的深入学习,有助于...

    FtpServer FtpServer

    - 工具如nmap和Wireshark可用于安全扫描和协议分析。 总之,FtpServer是企业或个人分享文件、实现远程协作的重要工具。了解并熟练掌握其工作原理、配置和管理技巧,对于提升工作效率和保障数据安全至关重要。随着...

    ethereal-setup网络协议分析工具

    “ethereal网络分析工具”标签进一步确认了该软件的主要功能和所属类别,即Ethereal是一款专注于网络协议分析的工具。 **文件名称列表:** 提供的文件“ethereal-setup-0.10.14.exe”是一个可执行文件,通常为...

    ftp.rar_FTP服务器_c# ftp服务器_c++ftp_ftp_ftp服务端代码

    通过对这些代码的分析和学习,开发者可以深入了解FTP协议的工作原理,以及如何在C#和C++中实现一个功能完备的FTP服务器。 总之,FTP服务器的实现涉及到网络编程、多线程、用户认证等多个技术领域。无论是C#还是C++...

    网络协议分析笔记

    《网络协议分析笔记》 网络协议是互联网通信的基础,它定义了不同设备间如何交换信息。TCP/IP(传输控制协议/因特网协议)是网络通信中最广泛采用的一组协议,本笔记将深入探讨TCP/IP及其相关的网络协议。 首先,...

    FTP.rar_ftp

    这个"FTP.rar_ftp"压缩包包含了FTP工具的源代码,通过分析这些源代码,我们可以深入理解FTP协议的工作原理以及如何实现一个基本的FTP客户端或服务器。 首先,`ftp_command.cpp`文件很可能包含了FTP命令的实现。FTP...

    最全的网络协议分析(内部资料)pdf.rar

    《最全的网络协议分析》是一份珍贵的内部资料,主要涵盖了网络协议的全面解析,对深入理解协议原理和技术有着极高的价值。这份文档详细介绍了网络通信中的多种协议,包括TCP、SOCKET和HTTP等核心协议,对于学习者来...

Global site tag (gtag.js) - Google Analytics