ftp下载文件的风险

1. 交换机开通ftp服务有什么风险

ftp可以有write的操作，对交换机的配置和 操作系统有危险

2. FTP下载超过10G的文件属于攻击嘛

属于。只有在FTP下载10G以内的文件不属于攻击。使用FTP下载文件的方法：
1、打开浏览器，域名栏中输入FTP地址，输入FTP用户名和局兄蚂密码登录。
2、进入FTP服务器,选择需要尘兆下载的文件并桐埋点击保存即可。

3. FTP的防范与攻击如何实现

------------------------FTP安全考虑—RFC2577----------------------------------
1．简介
文件传输协议规范（FTP）[PR85]提供了一种允许客户端建立FTP控制连接并在两台
FTP服务器间传输文件的机制。这种“代理FTP”机制可以用来减少网络的流量，客户端命
令一台服务器传输文件给另一台服务器，而不是从第一台服务器传输文件给客户端，然后从
客户端再传输给第二台服务器。当客户端连接到网络的速度特别慢时，这是非常有用的。但
同时，代理FTP还带来了一个安全问题——“跳转攻击（bounce attack）”[CERT97:27]。除
了“跳转攻击”，FTP服务器还可以被攻击者通过强力来猜测密码。
本文档并不考虑当FTP和一些强壮的安全协议（比如IP安全）联合使用的情况。虽然
这些安全关注并不在本文档的考虑范围内，但是它们也应该被写成文档。
本文给FTP服务器的实现者和系统管理员提供了一些信息，如下所示。第二章描述了
FTP“跳转攻击”。第三章提供了减少“跳转攻击”的建议。第四章给基于网络地址限制访
问的服务器提供了建议。第五章提供了限制客户端强力“猜测密码”的建议。接着，第六章
简单的讨论了改善保密性的机制。第七章给出了阻止猜测用户身份的机制。第八章讨论了端
口盗用。最后，第九章讨论了其它跟软件漏洞有关而跟协议本身无关的FTP安全问题。
2．跳转攻击（Bounce Attack）
RFC959[PR85]中规定的FTP规范提供了一种攻击知名网络服务器的一种方法，并且使
攻击者很难被跟踪。攻击者发送一个FTP"PORT"命令给目标FTP服务器，其中包含该主机
的网络地址和被攻击的服务的端口号。这样，客户端就能命令FTP服务器发一个文件给被
攻击的服务。这个文件可能包括根被攻击的服务有关的命令（如SMTP,NNTP等）。由于是
命令第三方去连接到一种服务，而不是直接连接，就使得跟踪攻击者变得困难，并且还避开
了基于网络地址的访问限制。
例如，客户端上载包含SMTP命令的报文到FTP服务器。然后，使用正确的PORT命
令，客户端命令服务器打开一个连接给第三方机器的SMTP端口。最后，客户端命令服务
器传输刚才上载的包含SMTP命令的报文给第三方机器。这就使得客户端不建立任何直接
的连接而在第三方机器上伪造邮件，并且很难跟踪到这个攻击者。
3．避免跳转攻击
原来的FTP规范[PR85]假定使用TCP进行数据链接，TCP端口号从0到1023时报留给
一些众所周知的服务的，比如邮件，网络新闻和FTP控制链接。FTP规范对数据链接没有
限制TCP端口号。因此，使用代理FTP，客户端就可以命令服务器去攻击任何机器上众所
周知的服务。
为了避免跳转攻击，服务器最好不要打开数据链接到小于1024的TCP端口号。如果服
务器收到一个TCP端口号小于1024的PORT命令，那么可以返回消息504（对这种参数命
令不能实现）。但要注意这样遗留下那些不知名服务（端口号大于1023）易受攻击。
一些建议（例如[AOM98]和[Pis94]）提供了允许使用除了TCP以外的其他传输协议来
建立数据连接的机制。当使用这些协议时，同样要注意采用类似的防范措施来保护众所周知
的服务。
另外，我们注意到跳转攻击一般需要攻击者首先上载一个报文到FTP服务器然后再下
载到准备攻击的服务端口上。使用适当的文件保护措施就可以阻止这种情况发生。然而攻击
者也可能通过从远程FTP服务器发送一些能破坏某些服务的数据来攻击它。
禁止使用PORT命令也是避免跳转攻击的一种方法。大多数文件传输可以仅通过PASV
命令来实现。但这样做的缺点就是丧失了使用代理FTP的能力，当然代理FTP并不是在所
有场合都需要的。
4．受限制的访问
一些FTP服务器希望有基于网络地址的访问控制。例如，服务器可能希望限制来自某
些地点的对某些文件的访问（例如为了某些文件不被传送到组织以外）。在这种情况下，服
务器在发送受限制的文件之前应该首先确保远程主机的网络地址在本组织的范围内，不管是
控制连接还是数据连接。通过检查这两个连接，服务器就被保护避免了这种情况：控制连接
用一台可信任的主机连接而数据连接不是。同样的，客户也应该在接受监听模式下的开放端
口连接后检察远程主机的IP地址，以确保连接是由所期望的服务器建立的。
注意，基于网络地址的受限访问留下了FTP服务器易受“地址盗用(spoof)”攻击。在
spoof攻击中，攻击机器可以冒用在组织内的机器的网络地址，从而将文件下载到在组织之
外的未授权的机器上。只要可能，就应该使用安全鉴别机制，比如在[HL97]中列出的安全鉴
别机制。
5．保护密码
为了减少通过FTP服务器进行强力密码猜测攻击的风险，建议服务器限制尝试发送正
确的密码的次数。在几次尝试（3~5次）后，服务器应该结束和该客户的控制连接。在结束
控制连接以前，服务器必须给客户端发送一个返回码421（“服务不可用，关闭控制连接”
[PR85]）。另外，服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效
性。若可能的话，目标操作系统提供的机制可以用来完成上述建议。
攻击者可能通过与服务器建立多个、并行的控制连接破坏上述的机制。为了搏击多个并
行控制连接的使用，服务器可以限制控制连接的最大数目，或探查会话中的可疑行为并在以
后拒绝该站点的连接请求。然而上述两种措施又引入了“服务否决”攻击，攻击者可以故意
的禁止有效用户的访问。
标准FTP[PR85]在明文文本中使用“PASS”命令发送密码。建议FTP客户端和服务器
端使用备用的鉴别机制，这种鉴别机制不会遭受窃听。比如，IETF公共鉴别技术工作组开
发的机制[HL97]。
6．私密性
在FTP标准中[PR85]中，所有在网络上被传送的数据和控制信息（包括密码）都未被
加密。为了保障FTP传输数据的私密性，应尽可能使用强壮的加密系统。在[HL97]中定义
了一个这样的机制。
7．保护用户名
当“USER”命令中的用户名被拒绝时，在FTP标准中[PR85]中定义了相应的返回码530。
而当用户名是有效的但却需要密码，FTP将使用返回码331。为了避免恶意的客户利用USER
操作返回的码确定一个用户名是否有效，建议服务器对USER命令始终返回331，然后拒绝
对无效用户名合并用户名和密码。
8．端口盗用
许多操作系统以递增的顺序动态的分配端口号。通过合法的传输，攻击者能够观察当前
由服务器端分配的端口号，并“猜”出下一个即将使用的端口号。攻击者可以与这个端口建
立连接，然后就剥夺了下一个合法用户进行传输的能力。或者，攻击者可以盗取给合法用户
的文件。另外，攻击者还可能在从授权用户发出的数据流中插入伪造的文件。通过使FTP
客户和服务器随机的给数据连接分配端口号，或者要求操作系统随机分配端口号，或者使用
与系统无关的机制都可以减少端口盗用的发生。
9．基于软件的安全问题
本文档的重点是和协议相关的安全问题。另外还有一些成文的FTP安全问题是由于不
完善的FTP实现造成的。虽然这种类型的问题的细节超出本文档的范围，还是有必要指出
以下那些过去曾被误用，今后的实现应该慎重考虑的FTP特性。
? 匿名FTP
匿名FTP服务使客户端用最少的证明连接到FTP服务器分享公共文件。如果这样的用
户能够读系统上所有的文件或者能建立文件，那么问题就产生了。[CERT92:09] [CERT93:06]

? 执行远程命令
FTP扩展命令"SITE EXEC"允许客户端执行服务器上任意的命令。这种特性显然需要非
常小心的实现。已经有几个成文的例子说明攻击者利用FTP“SITE EXEC”命令可以破坏服
务器的安全性。[CERT94:08] [CERT95:16]

? 调试代码
前面的一些跟FTP有关危及安全的问题是由于置入了调试特性的软件造成的。
[CERT88:01]

本文建议有这些功能的FTP服务器的实现者在发布软件之前参阅所有的CERT有关这
些问题的攻击以及类似机制的忠告。
10．结论
使用以上建议可以减少和FTP服务器有关的安全问题的发生，而不用删除其功能。

4. 如何提高FTP服务器安全性

一、禁止系统级别用户来登录FTP服务器。

为了提高FTP服务器的安全，系统管理员最好能够为员工设置单独的FTP帐号，而不要把系统级别的用户给普通用户来使用，这会带来很大的安全隐患。在VSFTP服务器中，可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单，列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后，我们可以利用vi命令来查看这个配置文件，发现其已经有了许多默认的帐户。其中，系统的超级用户root也在其中。可见出于安全的考虑，VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器，则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器，会对其安全造成负面的影响，为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改，保留这些帐号的设置。

如果出于其他的原因，需要把另外一些帐户也禁用掉，则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见，把数据库管理员的帐户列入到这个黑名单，是一个不错的做法。

二、加强对匿名用户的控制。

匿名用户是指那些在FTP服务器中没有定义相关的帐户，而FTP系统管理员为了便于管理，仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权，为了提高服务器的安全性，必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别，来做好相关的配置工作。需要说明的是，匿名用户的权限控制的越严格，FTP服务器的安全性越高，但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。

下面是我推荐的几个针对匿名用户的配置，大家若不清楚该如何配置的话，可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。

一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部，主要供企业内部员工使用的话，则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面，让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全，而且也有利于其他员工操作的便利性上。

二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下，应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话，随便哪个人都可以上传文件的话，那对方若上传一个病毒文件，那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话，可以把这个参数设置为YES，即允许操作系统调用FTP命令往FTP服务器上备份文件。

5. ftp有什么用进入ftp会不会有危险

用于控制文件的双向传输。
进入FTP。。。其实你平时上网就是用的FTP方式。。。你说有没有危险？危险很小啦～～～

6. 什么是ftp主要的安全问题

ftp主要的安全问题是破坏程序能够在服务器端运行。
ftp文件传输协议是用于在网络上进行文件传输的一套标准协议，它工作在OSI模型的第七层，TCP模型的第四层，即应用层，使用TCP传输而不是UDP。客户在和服务器建立连接前要经过一个“三次握手”的过程，保证客户与服务器之间的连接是可靠的，而且是面向连接，为数据传输提供可靠保证。FTP允许用户以文件操作的方式与另一主机相互通信。然而用户并不真正登录到自己想要存取的计算机上面而成为完全用户，可用FTP程序访问远程资源，实现用户往返传输文件、目录管理以及访问电子邮件等等，即使双方计算机可能配有不同的操作系统和文件存储方式。
更多关于什么是ftp主要的安全问题，进入：https://m.abcgonglue.com/ask/4325cd1615836422.html?zd查看更多内容

7. 用虚拟机访问FTP站点下载文件，提示“当前的安全设置不允许从该位置下载文件”请问问题在什么地方

打开浏览器--工具---internet-安全-自定义级别-选择到低到中低.
然后点受信任站点，把你要访问的站点添加进去.OK了

8. ftp采用什么传输信息有可能增加数据或密码在网上传输的风险

FTP采用传输控制协议（TCP）来传输数据和控嫌埋明制液渗信息。它可以通过加密技术来增加数据和密码的安全性，以防止未经授权的芹告访问和篡改。

9. FTP和P2P下载有什么不同

FTP下载有稳定的数据源，但是在都是数兆宽带的今天，服务器负荷过重而导致

下载速度总是不尽人意.采用P2P技术的BT下载方式弥补了速度上的不足，充分利用

了用户的带宽，但是由用户提供的数据源总是不稳定。二者如果结合在一起的话刚好

可以互补。以前曾经设想过将两者结合起来的概念模型，后来才发现现在已经有了相

当广泛的应用了~~~

FTP下载中经常存在这样的情况：

1）对于一个相同的文件，有多个用户同时下载。

2）用户下载的文件在不同的地方有相同的副本。

第一个情况中，对于每一个用户，服务器都要建立一个连接，分别传输相同的东

西（就出现了冗余），而此时的传输瓶颈恰恰也在服务器这里，要提高传输效率就要

从服务器这里消除冗余，而此时P2P技术就要派上用场了。同一个文件，用户可以将

其分成数个部分，每个用户同时下载不同的部分（若下载采用多线程下载每个部分还

可以提高速度），而同时，用户之间交换已经下载的数据。此时，可能还存在着一个

或多个同样的文件存储在不同的服务器上，也就是第二种情况。这时就可以将其他的

相同文件看作数据源同时下载，这样就减轻了单一服务器的负荷。

下面描述一下具体步骤：

假设有用户1~用户N要同时下载Server1~ServerN上的文件FILE，

此时需要用户安装结合了FTP和P2P技术的下载软件（先叫RED吧），还要架设一台协

调用户存储信息的下载软件服务器DoSERVER(含存有文件的其他地址的数据库，正在

下载文件的用户群IP等）。

首先，用户1点击了FILE的地址，RED捕获地址信息，将地址发送到DoSERVER，查询

是否有文件FILE的信息，如果没有则将文件FILE及此地址加入数据库，然后用户1得

到存放有FILE的多个地址和正在下载文件FILE的其他用户IP地址。

然后，用户1选择若干连接速度快的其他用户建立P2P连接，按照统一算法将FILE按

大小分块，用户1建立多线程定位到若干个FTP服务器上还未曾被下载的块，同时进

行FTP下载。

最后，下载完成后还可以将文件作为资源供其他人下载

这样在最恶劣的情况下也保证了有一个或多个可以同时稳定下载的FTP资源（除非找到的地址中资源全部失效才会导致下载失败），而随着资源的积累，找到的FTP资源会更多。

另外还有数据库的维护，如地址、用户的添加，更新等

-------------------------------------------------------------------------

这里只是大概原理~细节还有好多~~慢慢搞ING`~

10. 如果用FTP服务器下载一个可执行文件时,发现下载的文件与原文件不一致,原因是什么

1.
可能下载中断造成文件不一致。可以通过重新下载，然后提示是否覆盖还是续传，选择续传。
2
另外一种可能，是该文件属于病毒文件，或者你电脑安装杀毒软件屏蔽这类执行文件，如果你还是坚持要下载，最好关闭所有杀毒软件的进程，切忌，是所有进程。
应该够详细了吧？