ftp下載文件的風險

1. 交換機開通ftp服務有什麼風險

ftp可以有write的操作，對交換機的配置和 操作系統有危險

2. FTP下載超過10G的文件屬於攻擊嘛

屬於。只有在FTP下載10G以內的文件不屬於攻擊。使用FTP下載文件的方法：
1、打開瀏覽器，域名欄中輸入FTP地址，輸入FTP用戶名和局兄螞密碼登錄。
2、進入FTP伺服器,選擇需要塵兆下載的文件並桐埋點擊保存即可。

3. FTP的防範與攻擊如何實現

------------------------FTP安全考慮—RFC2577----------------------------------
1．簡介
文件傳輸協議規范（FTP）[PR85]提供了一種允許客戶端建立FTP控制連接並在兩台
FTP伺服器間傳輸文件的機制。這種「代理FTP」機制可以用來減少網路的流量，客戶端命
令一台伺服器傳輸文件給另一台伺服器，而不是從第一台伺服器傳輸文件給客戶端，然後從
客戶端再傳輸給第二台伺服器。當客戶端連接到網路的速度特別慢時，這是非常有用的。但
同時，代理FTP還帶來了一個安全問題——「跳轉攻擊（bounce attack）」[CERT97:27]。除
了「跳轉攻擊」，FTP伺服器還可以被攻擊者通過強力來猜測密碼。
本文檔並不考慮當FTP和一些強壯的安全協議（比如IP安全）聯合使用的情況。雖然
這些安全關注並不在本文檔的考慮范圍內，但是它們也應該被寫成文檔。
本文給FTP伺服器的實現者和系統管理員提供了一些信息，如下所示。第二章描述了
FTP「跳轉攻擊」。第三章提供了減少「跳轉攻擊」的建議。第四章給基於網路地址限制訪
問的伺服器提供了建議。第五章提供了限制客戶端強力「猜測密碼」的建議。接著，第六章
簡單的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端
口盜用。最後，第九章討論了其它跟軟體漏洞有關而跟協議本身無關的FTP安全問題。
2．跳轉攻擊（Bounce Attack）
RFC959[PR85]中規定的FTP規范提供了一種攻擊知名網路伺服器的一種方法，並且使
攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT"命令給目標FTP伺服器，其中包含該主機
的網路地址和被攻擊的服務的埠號。這樣，客戶端就能命令FTP伺服器發一個文件給被
攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令（如SMTP,NNTP等）。由於是
命令第三方去連接到一種服務，而不是直接連接，就使得跟蹤攻擊者變得困難，並且還避開
了基於網路地址的訪問限制。
例如，客戶端上載包含SMTP命令的報文到FTP伺服器。然後，使用正確的PORT命
令，客戶端命令伺服器打開一個連接給第三方機器的SMTP埠。最後，客戶端命令服務
器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接
的連接而在第三方機器上偽造郵件，並且很難跟蹤到這個攻擊者。
3．避免跳轉攻擊
原來的FTP規范[PR85]假定使用TCP進行數據鏈接，TCP埠號從0到1023時報留給
一些眾所周知的服務的，比如郵件，網路新聞和FTP控制鏈接。FTP規范對數據鏈接沒有
限制TCP埠號。因此，使用代理FTP，客戶端就可以命令伺服器去攻擊任何機器上眾所
周知的服務。
為了避免跳轉攻擊，伺服器最好不要打開數據鏈接到小於1024的TCP埠號。如果服
務器收到一個TCP埠號小於1024的PORT命令，那麼可以返回消息504（對這種參數命
令不能實現）。但要注意這樣遺留下那些不知名服務（埠號大於1023）易受攻擊。
一些建議（例如[AOM98]和[Pis94]）提供了允許使用除了TCP以外的其他傳輸協議來
建立數據連接的機制。當使用這些協議時，同樣要注意採用類似的防範措施來保護眾所周知
的服務。
另外，我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP伺服器然後再下
載到准備攻擊的服務埠上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊
者也可能通過從遠程FTP伺服器發送一些能破壞某些服務的數據來攻擊它。
禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV
命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力，當然代理FTP並不是在所
有場合都需要的。
4．受限制的訪問
一些FTP伺服器希望有基於網路地址的訪問控制。例如，伺服器可能希望限制來自某
些地點的對某些文件的訪問（例如為了某些文件不被傳送到組織以外）。在這種情況下，服
務器在發送受限制的文件之前應該首先確保遠程主機的網路地址在本組織的范圍內，不管是
控制連接還是數據連接。通過檢查這兩個連接，伺服器就被保護避免了這種情況：控制連接
用一台可信任的主機連接而數據連接不是。同樣的，客戶也應該在接受監聽模式下的開放端
口連接後檢察遠程主機的IP地址，以確保連接是由所期望的伺服器建立的。
注意，基於網路地址的受限訪問留下了FTP伺服器易受「地址盜用(spoof)」攻擊。在
spoof攻擊中，攻擊機器可以冒用在組織內的機器的網路地址，從而將文件下載到在組織之
外的未授權的機器上。只要可能，就應該使用安全鑒別機制，比如在[HL97]中列出的安全鑒
別機制。
5．保護密碼
為了減少通過FTP伺服器進行強力密碼猜測攻擊的風險，建議伺服器限制嘗試發送正
確的密碼的次數。在幾次嘗試（3~5次）後，伺服器應該結束和該客戶的控制連接。在結束
控制連接以前，伺服器必須給客戶端發送一個返回碼421（「服務不可用，關閉控制連接」
[PR85]）。另外，伺服器在相應無效的「PASS」命令之前應暫停幾秒來消減強力攻擊的有效
性。若可能的話，目標操作系統提供的機制可以用來完成上述建議。
攻擊者可能通過與伺服器建立多個、並行的控制連接破壞上述的機制。為了搏擊多個並
行控制連接的使用，伺服器可以限制控制連接的最大數目，或探查會話中的可疑行為並在以
後拒絕該站點的連接請求。然而上述兩種措施又引入了「服務否決」攻擊，攻擊者可以故意
的禁止有效用戶的訪問。
標准FTP[PR85]在明文文本中使用「PASS」命令發送密碼。建議FTP客戶端和伺服器
端使用備用的鑒別機制，這種鑒別機制不會遭受竊聽。比如，IETF公共鑒別技術工作組開
發的機制[HL97]。
6．私密性
在FTP標准中[PR85]中，所有在網路上被傳送的數據和控制信息（包括密碼）都未被
加密。為了保障FTP傳輸數據的私密性，應盡可能使用強壯的加密系統。在[HL97]中定義
了一個這樣的機制。
7．保護用戶名
當「USER」命令中的用戶名被拒絕時，在FTP標准中[PR85]中定義了相應的返回碼530。
而當用戶名是有效的但卻需要密碼，FTP將使用返回碼331。為了避免惡意的客戶利用USER
操作返回的碼確定一個用戶名是否有效，建議伺服器對USER命令始終返回331，然後拒絕
對無效用戶名合並用戶名和密碼。
8．埠盜用
許多操作系統以遞增的順序動態的分配埠號。通過合法的傳輸，攻擊者能夠觀察當前
由伺服器端分配的埠號，並「猜」出下一個即將使用的埠號。攻擊者可以與這個埠建
立連接，然後就剝奪了下一個合法用戶進行傳輸的能力。或者，攻擊者可以盜取給合法用戶
的文件。另外，攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP
客戶和伺服器隨機的給數據連接分配埠號，或者要求操作系統隨機分配埠號，或者使用
與系統無關的機制都可以減少埠盜用的發生。
9．基於軟體的安全問題
本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由於不
完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍，還是有必要指出
以下那些過去曾被誤用，今後的實現應該慎重考慮的FTP特性。
? 匿名FTP
匿名FTP服務使客戶端用最少的證明連接到FTP伺服器分享公共文件。如果這樣的用
戶能夠讀系統上所有的文件或者能建立文件，那麼問題就產生了。[CERT92:09] [CERT93:06]

? 執行遠程命令
FTP擴展命令"SITE EXEC"允許客戶端執行伺服器上任意的命令。這種特性顯然需要非
常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP「SITE EXEC」命令可以破壞服
務器的安全性。[CERT94:08] [CERT95:16]

? 調試代碼
前面的一些跟FTP有關危及安全的問題是由於置入了調試特性的軟體造成的。
[CERT88:01]

本文建議有這些功能的FTP伺服器的實現者在發布軟體之前參閱所有的CERT有關這
些問題的攻擊以及類似機制的忠告。
10．結論
使用以上建議可以減少和FTP伺服器有關的安全問題的發生，而不用刪除其功能。

4. 如何提高FTP伺服器安全性

一、禁止系統級別用戶來登錄FTP伺服器。

為了提高FTP伺服器的安全，系統管理員最好能夠為員工設置單獨的FTP帳號，而不要把系統級別的用戶給普通用戶來使用，這會帶來很大的安全隱患。在VSFTP伺服器中，可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單，列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後，我們可以利用vi命令來查看這個配置文件，發現其已經有了許多默認的帳戶。其中，系統的超級用戶root也在其中。可見出於安全的考慮，VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器，則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器，會對其安全造成負面的影響，為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改，保留這些帳號的設置。

如果出於其他的原因，需要把另外一些帳戶也禁用掉，則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見，把資料庫管理員的帳戶列入到這個黑名單，是一個不錯的做法。

二、加強對匿名用戶的控制。

匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶，而FTP系統管理員為了便於管理，仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權，為了提高伺服器的安全性，必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別，來做好相關的配置工作。需要說明的是，匿名用戶的許可權控制的越嚴格，FTP伺服器的安全性越高，但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。

下面是我推薦的幾個針對匿名用戶的配置，大家若不清楚該如何配置的話，可以參考這些配置。這些配置兼顧了伺服器的安全與用戶的使用便利。

一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部，主要供企業內部員工使用的話，則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面，讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全，而且也有利於其他員工操作的便利性上。

二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下，應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話，隨便哪個人都可以上傳文件的話，那對方若上傳一個病毒文件，那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話，可以把這個參數設置為YES，即允許操作系統調用FTP命令往FTP伺服器上備份文件。

5. ftp有什麼用進入ftp會不會有危險

用於控制文件的雙向傳輸。
進入FTP。。。其實你平時上網就是用的FTP方式。。。你說有沒有危險？危險很小啦～～～

6. 什麼是ftp主要的安全問題

ftp主要的安全問題是破壞程序能夠在伺服器端運行。
ftp文件傳輸協議是用於在網路上進行文件傳輸的一套標准協議，它工作在OSI模型的第七層，TCP模型的第四層，即應用層，使用TCP傳輸而不是UDP。客戶在和伺服器建立連接前要經過一個「三次握手」的過程，保證客戶與伺服器之間的連接是可靠的，而且是面向連接，為數據傳輸提供可靠保證。FTP允許用戶以文件操作的方式與另一主機相互通信。然而用戶並不真正登錄到自己想要存取的計算機上面而成為完全用戶，可用FTP程序訪問遠程資源，實現用戶往返傳輸文件、目錄管理以及訪問電子郵件等等，即使雙方計算機可能配有不同的操作系統和文件存儲方式。
更多關於什麼是ftp主要的安全問題，進入：https://m.abcgonglue.com/ask/4325cd1615836422.html?zd查看更多內容

7. 用虛擬機訪問FTP站點下載文件，提示「當前的安全設置不允許從該位置下載文件」請問問題在什麼地方

打開瀏覽器--工具---internet-安全-自定義級別-選擇到低到中低.
然後點受信任站點，把你要訪問的站點添加進去.OK了

8. ftp採用什麼傳輸信息有可能增加數據或密碼在網上傳輸的風險

FTP採用傳輸控制協議（TCP）來傳輸數據和控嫌埋明制液滲信息。它可以通過加密技術來增加數據和密碼的安全性，以防止未經授權的芹告訪問和篡改。

9. FTP和P2P下載有什麼不同

FTP下載有穩定的數據源，但是在都是數兆寬頻的今天，伺服器負荷過重而導致

下載速度總是不盡人意.採用P2P技術的BT下載方式彌補了速度上的不足，充分利用

了用戶的帶寬，但是由用戶提供的數據源總是不穩定。二者如果結合在一起的話剛好

可以互補。以前曾經設想過將兩者結合起來的概念模型，後來才發現現在已經有了相

當廣泛的應用了~~~

FTP下載中經常存在這樣的情況：

1）對於一個相同的文件，有多個用戶同時下載。

2）用戶下載的文件在不同的地方有相同的副本。

第一個情況中，對於每一個用戶，伺服器都要建立一個連接，分別傳輸相同的東

西（就出現了冗餘），而此時的傳輸瓶頸恰恰也在伺服器這里，要提高傳輸效率就要

從伺服器這里消除冗餘，而此時P2P技術就要派上用場了。同一個文件，用戶可以將

其分成數個部分，每個用戶同時下載不同的部分（若下載採用多線程下載每個部分還

可以提高速度），而同時，用戶之間交換已經下載的數據。此時，可能還存在著一個

或多個同樣的文件存儲在不同的伺服器上，也就是第二種情況。這時就可以將其他的

相同文件看作數據源同時下載，這樣就減輕了單一伺服器的負荷。

下面描述一下具體步驟：

假設有用戶1~用戶N要同時下載Server1~ServerN上的文件FILE，

此時需要用戶安裝結合了FTP和P2P技術的下載軟體（先叫RED吧），還要架設一台協

調用戶存儲信息的下載軟體伺服器DoSERVER(含存有文件的其他地址的資料庫，正在

下載文件的用戶群IP等）。

首先，用戶1點擊了FILE的地址，RED捕獲地址信息，將地址發送到DoSERVER，查詢

是否有文件FILE的信息，如果沒有則將文件FILE及此地址加入資料庫，然後用戶1得

到存放有FILE的多個地址和正在下載文件FILE的其他用戶IP地址。

然後，用戶1選擇若干連接速度快的其他用戶建立P2P連接，按照統一演算法將FILE按

大小分塊，用戶1建立多線程定位到若干個FTP伺服器上還未曾被下載的塊，同時進

行FTP下載。

最後，下載完成後還可以將文件作為資源供其他人下載

這樣在最惡劣的情況下也保證了有一個或多個可以同時穩定下載的FTP資源（除非找到的地址中資源全部失效才會導致下載失敗），而隨著資源的積累，找到的FTP資源會更多。

另外還有資料庫的維護，如地址、用戶的添加，更新等

-------------------------------------------------------------------------

這里只是大概原理~細節還有好多~~慢慢搞ING`~

10. 如果用FTP伺服器下載一個可執行文件時,發現下載的文件與原文件不一致,原因是什麼

1.
可能下載中斷造成文件不一致。可以通過重新下載，然後提示是否覆蓋還是續傳，選擇續傳。
2
另外一種可能，是該文件屬於病毒文件，或者你電腦安裝殺毒軟體屏蔽這類執行文件，如果你還是堅持要下載，最好關閉所有殺毒軟體的進程，切忌，是所有進程。
應該夠詳細了吧？