⑴ ftp的背景知识
FTP是文件传输协议(File Transfer Protocol)的简称,RFC959中对该协议作了具体说明。
FTP的目标是:提高文件的共享性;提供非直接使用远程计算机的方法(通过程序);使存储介质对用户透明(屏蔽了不同主机上文件系统的差异);可靠高效地传送数据。
FTP命令
DOS command窗口中敲ftp后回车,在ftp命令提示符后敲?回车,可以列出ftp支持的所有命令。具体用法就不在这里叙述了(网上都可以查到,拷贝粘贴一大堆很没劲),在使用中可以慢慢体会。
FTP匿名访问
用户选择匿名访问时不需要输入用户名和密码,系统视用户名为anonymous。对于这个特殊的匿名用户帐号,目前大多数站点都明确要求使用电子邮件地址作为匿名用户密码。提供电子邮件地址,有助于让站点的拥有者了解到是哪些人在使用他们的服务。(原文参见RFC1635 How to Use Anonymous FTP)
请注意,anonymous用户通常不会被允许向档案站点上传文件,只允许下载。
FTP传输模式
这个有必要说一下。FTP传输模式分为PASV模式与PORT模式两种(默认为PASV模式)。
FTP是仅基于TCP的服务,不支持UDP。与其他TCP服务不同的是,FTP使用2个端口,一个数据端口和一个命令端口(或叫做控制端口)。通常来说,这两个端口分别是21(命令端口)和20(数据端口)。但根据FTP工作方式(传输模式)的不同,数据端口并不总是20端口。下面分别阐述:
主动传输模式(PORT模式)
当FTP的控制连接建立,客户提出目录列表、传输文件时,客户端发出PORT命令与服务器进行协商,FTP服务器使用一个标准端口20作为服务器端的数据连接端口,与客户建立数据连接。端口20只用于连接源地址是服务器端的情况,并且端口20没有监听进程来监听客户请求。 在主动传输模式下,FTP的数据连接和控制连接方向相反,由服务器向客户端发起一个用于数据传输的连接。客户端的连接端口由服务器端和客户端通过协商确定。主动传输模式下,FTP服务器使用20端口与客户端的高位随机端口进行连接,并传输数据,客户端只是处于接收状态。
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。 为了解决这个服务器发起到客户端的连接问题,人们开发了一种不同的FTP连接方式,这就是所谓的被动方式,或者叫做PASV方式。当客户端通知服务器它处于被动模式时才启用。
被动传输模式(PASV模式)
当FTP的控制连接建立,客户提出目录列表、传输文件时,客户端发送PASV命令使服务器处于被动传输模式,FTP服务器等待客户与其联系。FTP服务器在非20端口的其它数据传输端口上监听客户请求。 在被动传输模式下,FTP的数据连接和控制连接方向一致,由客户端向服务器发起一个用于数据传输的连接。客户端的连接端口是发起该数据连接请求时使用的端口。当FTP客户在防火墙之外访问FTP服务器时,需要使用被动传输模式。被动传输模式下,FTP服务器打开一个高位随机端口等待客户端对其进行连接,并传输数据,服务器并不参与数据的主动传输,只是被动接受。
被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连接要连到服务器端的一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
目前默认都采用PASV方式(除非服务器不支持)。现在的FTP服务器大多也都支持被动FTP,因为管理员需要他们的服务器有最多的客户连接。通过为FTP服务器指定一个有限的端口范围可以减小服务器高位端口的暴露,不在这个范围的任何端口会被服务器的防火墙阻塞,这样,虽然这没有消除所有针对服务器的危害,但它毕竟大大减少了风险。
在WWW泛滥的时代,大多数web浏览器(可用作FTP客户端)在访问ftp://这样的URL时也都是默认支持被动模式的(在浏览器的 "Internet 选项" 中可看到使用被动FTP的相关设置)。
FTP数据分析与测试
如果需要分析FTP过程中的一些状态及数据,可以使用Ethereal工具抓包,获取经过网卡的数据。前提是:FTP服务器IP不为本机IP,否则,数据不经过网卡。
⑵ 如何禁止FTP,如何封堵FTP,FTP通讯协议和端口范围
添加防火墙入站规则,
windows上禁止20、21两个端口就可以了。
linux上,还有22端口是给ssh工具用的,如果也想阻止,就一起禁止掉。
⑶ 如何提高FTP服务器安全性
一、禁止系统级别用户来登录FTP服务器。
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。
⑷ ftp 21端口被攻击的危害
是什么样的攻击。如果只是在暴力破解你的FTP密码。只须要在你的FTP服务器里设置IP登录次数限制和IP拒绝访问就是了
⑸ 同一时间N多用户用同一用户名登录同一FTP服务器对服务器有什么危害
服务器没什么大危害,只是服务器的网络出口变慢,别外有可能服务器暂时会有cpu占用大的可能。
⑹ ftp服务器问题
1、是匿名还是需要登录,192.168.*.***可能密码保存了。域名.com 登录不上 。
2、先确认域名能解析到这个192.168.*.***机器上吗?
ping 域名.com
通的话把192.168.*.***关机或禁用网卡或拔了网线,再ping 域名.com
3、ping 域名.com
通的话在dos下 ftp 域名.com
输入用户名密码,匿名的用户名好像是anonymous
dir看看 或cd ..
⑺ 关闭FTP会有什么坏处
FTP是文件传输协议,一般用80端口。如果你不用这个功能,不建FTP方式的数据共享那就关闭它吧,它对你的系统没有任何影响。
⑻ http https ftp
超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。 FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。 安全性属第2种高了。它加密了。危害是自己带来的,和协议没有关系
⑼ ftp被暴力破解的危害
用户名泄露。
破解FTP口令和破解系统的其他应用层口令一样,首先就是得到对方的用户名。当然得到用户名的方法也很多,例如可以使用社会工程学来骗取用户名,或者使用Finger命令来得到用户名,甚至可以猜测对方的用户名。
FTP的口令像大多数的Internet服务一样,FTP使用客户机/服务器系统,你在使用一个名叫FTP的客户机程序时,就和远程主机(FTP站点)上的服务程序相连了。理论上讲,这种想法是很简单的。当你用客户机程序时,你的命令就发送出去了,服务器响应你发送的命令。