⑴ ftp的背景知識
FTP是文件傳輸協議(File Transfer Protocol)的簡稱,RFC959中對該協議作了具體說明。
FTP的目標是:提高文件的共享性;提供非直接使用遠程計算機的方法(通過程序);使存儲介質對用戶透明(屏蔽了不同主機上文件系統的差異);可靠高效地傳送數據。
FTP命令
DOS command窗口中敲ftp後回車,在ftp命令提示符後敲?回車,可以列出ftp支持的所有命令。具體用法就不在這里敘述了(網上都可以查到,拷貝粘貼一大堆很沒勁),在使用中可以慢慢體會。
FTP匿名訪問
用戶選擇匿名訪問時不需要輸入用戶名和密碼,系統視用戶名為anonymous。對於這個特殊的匿名用戶帳號,目前大多數站點都明確要求使用電子郵件地址作為匿名用戶密碼。提供電子郵件地址,有助於讓站點的擁有者了解到是哪些人在使用他們的服務。(原文參見RFC1635 How to Use Anonymous FTP)
請注意,anonymous用戶通常不會被允許向檔案站點上傳文件,只允許下載。
FTP傳輸模式
這個有必要說一下。FTP傳輸模式分為PASV模式與PORT模式兩種(默認為PASV模式)。
FTP是僅基於TCP的服務,不支持UDP。與其他TCP服務不同的是,FTP使用2個埠,一個數據埠和一個命令埠(或叫做控制埠)。通常來說,這兩個埠分別是21(命令埠)和20(數據埠)。但根據FTP工作方式(傳輸模式)的不同,數據埠並不總是20埠。下面分別闡述:
主動傳輸模式(PORT模式)
當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發出PORT命令與伺服器進行協商,FTP伺服器使用一個標准埠20作為伺服器端的數據連接埠,與客戶建立數據連接。埠20隻用於連接源地址是伺服器端的情況,並且埠20沒有監聽進程來監聽客戶請求。 在主動傳輸模式下,FTP的數據連接和控制連接方向相反,由伺服器向客戶端發起一個用於數據傳輸的連接。客戶端的連接埠由伺服器端和客戶端通過協商確定。主動傳輸模式下,FTP伺服器使用20埠與客戶端的高位隨機埠進行連接,並傳輸數據,客戶端只是處於接收狀態。
主動FTP對FTP伺服器的管理有利,但對客戶端的管理不利。因為FTP伺服器企圖與客戶端的高位隨機埠建立連接,而這個埠很有可能被客戶端的防火牆阻塞掉。 為了解決這個伺服器發起到客戶端的連接問題,人們開發了一種不同的FTP連接方式,這就是所謂的被動方式,或者叫做PASV方式。當客戶端通知伺服器它處於被動模式時才啟用。
被動傳輸模式(PASV模式)
當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發送PASV命令使伺服器處於被動傳輸模式,FTP伺服器等待客戶與其聯系。FTP伺服器在非20埠的其它數據傳輸埠上監聽客戶請求。 在被動傳輸模式下,FTP的數據連接和控制連接方向一致,由客戶端向伺服器發起一個用於數據傳輸的連接。客戶端的連接埠是發起該數據連接請求時使用的埠。當FTP客戶在防火牆之外訪問FTP伺服器時,需要使用被動傳輸模式。被動傳輸模式下,FTP伺服器打開一個高位隨機埠等待客戶端對其進行連接,並傳輸數據,伺服器並不參與數據的主動傳輸,只是被動接受。
被動FTP對FTP客戶端的管理有利,但對伺服器端的管理不利。因為客戶端要與伺服器端建立兩個連接,其中一個連接要連到伺服器端的一個高位隨機埠,而這個埠很有可能被伺服器端的防火牆阻塞掉。
目前默認都採用PASV方式(除非伺服器不支持)。現在的FTP伺服器大多也都支持被動FTP,因為管理員需要他們的伺服器有最多的客戶連接。通過為FTP伺服器指定一個有限的埠范圍可以減小伺服器高位埠的暴露,不在這個范圍的任何埠會被伺服器的防火牆阻塞,這樣,雖然這沒有消除所有針對伺服器的危害,但它畢竟大大減少了風險。
在WWW泛濫的時代,大多數web瀏覽器(可用作FTP客戶端)在訪問ftp://這樣的URL時也都是默認支持被動模式的(在瀏覽器的 "Internet 選項" 中可看到使用被動FTP的相關設置)。
FTP數據分析與測試
如果需要分析FTP過程中的一些狀態及數據,可以使用Ethereal工具抓包,獲取經過網卡的數據。前提是:FTP伺服器IP不為本機IP,否則,數據不經過網卡。
⑵ 如何禁止FTP,如何封堵FTP,FTP通訊協議和埠范圍
添加防火牆入站規則,
windows上禁止20、21兩個埠就可以了。
linux上,還有22埠是給ssh工具用的,如果也想阻止,就一起禁止掉。
⑶ 如何提高FTP伺服器安全性
一、禁止系統級別用戶來登錄FTP伺服器。
為了提高FTP伺服器的安全,系統管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP伺服器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後,我們可以利用vi命令來查看這個配置文件,發現其已經有了許多默認的帳戶。其中,系統的超級用戶root也在其中。可見出於安全的考慮,VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器,則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器,會對其安全造成負面的影響,為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設置。
如果出於其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見,把資料庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶,而FTP系統管理員為了便於管理,仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權,為了提高伺服器的安全性,必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別,來做好相關的配置工作。需要說明的是,匿名用戶的許可權控制的越嚴格,FTP伺服器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用戶的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了伺服器的安全與用戶的使用便利。
一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全,而且也有利於其他員工操作的便利性上。
二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下,應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話,可以把這個參數設置為YES,即允許操作系統調用FTP命令往FTP伺服器上備份文件。
⑷ ftp 21埠被攻擊的危害
是什麼樣的攻擊。如果只是在暴力破解你的FTP密碼。只須要在你的FTP伺服器里設置IP登錄次數限制和IP拒絕訪問就是了
⑸ 同一時間N多用戶用同一用戶名登錄同一FTP伺服器對伺服器有什麼危害
伺服器沒什麼大危害,只是伺服器的網路出口變慢,別外有可能伺服器暫時會有cpu佔用大的可能。
⑹ ftp伺服器問題
1、是匿名還是需要登錄,192.168.*.***可能密碼保存了。域名.com 登錄不上 。
2、先確認域名能解析到這個192.168.*.***機器上嗎?
ping 域名.com
通的話把192.168.*.***關機或禁用網卡或拔了網線,再ping 域名.com
3、ping 域名.com
通的話在dos下 ftp 域名.com
輸入用戶名密碼,匿名的用戶名好像是anonymous
dir看看 或cd ..
⑺ 關閉FTP會有什麼壞處
FTP是文件傳輸協議,一般用80埠。如果你不用這個功能,不建FTP方式的數據共享那就關閉它吧,它對你的系統沒有任何影響。
⑻ http https ftp
超文本傳輸協議(HTTP,HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網路協議。所有的WWW文件都必須遵守這個標准。設計HTTP最初的目的是為了提供一種發布和接收HTML頁面的方法。 HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。 FTP 是File Transfer Protocol(文件傳輸協議)的英文簡稱,而中文簡稱為「文傳協議」。 安全性屬第2種高了。它加密了。危害是自己帶來的,和協議沒有關系
⑼ ftp被暴力破解的危害
用戶名泄露。
破解FTP口令和破解系統的其他應用層口令一樣,首先就是得到對方的用戶名。當然得到用戶名的方法也很多,例如可以使用社會工程學來騙取用戶名,或者使用Finger命令來得到用戶名,甚至可以猜測對方的用戶名。
FTP的口令像大多數的Internet服務一樣,FTP使用客戶機/伺服器系統,你在使用一個名叫FTP的客戶機程序時,就和遠程主機(FTP站點)上的服務程序相連了。理論上講,這種想法是很簡單的。當你用客戶機程序時,你的命令就發送出去了,伺服器響應你發送的命令。