FTP.docx

FTP.docx

《FTP.docx》由会员分享，可在线阅读，更多相关《FTP.docx（71页珍藏版）》请在冰豆网上搜索。

FTPFTP协议分析协议分析2008/01/0210:

40|鬼仔|技术文章|占个座先作者：

PriscillaOppenheimer（CCNP、CCDP）翻译：

dragoncsc修补：

freedemon0.1.02.02.1FTPPort模式Port模式的FTP步骤如下：

1、客户端发送一个TCPSYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口；2、服务器端发送SYNACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答；4、当用户请求一个列表（List）请求或者发起一个要求发送或者接受文件的请求，客户端软件使用PORT命令，这个命令包含了一个暂时的端口，客户端希望服务器在打开一个数据连接时候使用这个暂时端口；PORT命令也包含了一个IP地址，这个IP地址通常是客户自己的IP地址，而且FTP也支持第三方（third-party）模式，第三方模式是客户端告诉服务器端打开与另台主机的连接；5、服务器端发送一个SYN包给客户端的暂时端口，源端口为20，暂时端口为客户端在PORT命令中发送给服务器端的暂时端口号；6、客户端以源端口为暂时端口，目的端口为20发送一个SYNACK包；7、服务器端发送一个ACK包；8、发送数据的主机以这个连接来发送数据，数据以TCP段（注：

segment，第4层的PDU）形式发送（一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要对方进行ACK确认（注：

因为TCP协议是一个面向连接的协议）9、当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以ACK确认；10、客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器同样也发送它的FIN，客户端用ACK来确认。

下图图示了FTPPORT模式前几步步骤：

/=|ftpClientftpServer|（TCP:

21连接初始化,控制端口）|SYN|Portxxxx-Port21TCP|SYN+ACK|PortxxxxPort21|（控制操作:

用户列目录或传输文件）|Port,IP,Portyyyy|Portxxxx-Port21|PortSeccussful|PortxxxxPort21|（TCP:

20连接初始化,数据端口）|SYN|PortyyyyPort20|ACK|Portyyyy-Port20|（数据操作:

数据传输）|Data+ACK|PortyyyyPort20|.|.|.|=/FTPPort模式会给网络管理人员在许多方面带来很多问题，首先，在PORT命令消息中的IP地址和端口号的编码不是直白地显示。

另外，应用层的协议命令理论上不应该包含网络地址信息（注：

IP地址），因为这打破了协议层的原则并且可能导致协同性和安全性方面的问题。

下图是WildPacketsEtherPeek协议分析仪解码了PORT命令的地址参数，地址参数后是端口号，见PORT192,168,10,232,6,127；6，127部分的第一个阿拉伯数字乘以256，然后加上第2个阿拉伯数字就得到端口号，所以客户端指定了端口号为6*256+127=1663；/=|IPHeader-InternetProtocolDatagram|Version:

4|HeaderLength:

5（20bytes）|.|TimeToLive:

128|Protocol:

6TCP-TransmissionControlProtocol|HeaderChecksum:

0xAA36|SourceIPAddress:

192.168.0.1DEMO|Dest.IPAddress:

192.168.0.3VI|NoIPOptions|TCP-TransportControlProtocol|SourcePort:

2342manage-exec|DestinationPort:

21ftp|SequenceNumber:

2435440100|AckNumber:

9822605|Offset:

5（20bytes）|Reserved:

%000000|Flags:

%011000|0.（NoUrgentpointer）|.1.Ack|.1.Push|.0.（NoReset）|.0.（NoSYN）|.0（NoFIN）|Window:

65150|Checksum:

0x832A|UrgentPointer:

0|NoTCPOptions|FTPControl-FileTransferProtocol|Line1:

PORT192,168,0,1,9,39|FCS-FrameCheckSequence|FCS（Calculated）:

0xF4C04A4F|=/下图验证了服务器端的确从端口20打开到端口1663的TCP连接：

/=|TCP-TransportControlProtocol|SourcePort:

20ftp-data|DestinationPort:

1663|SequenceNumber:

2578824336|AckNumber:

0|Offset:

6（24bytes）|Reserved:

%000000|Flags:

%000010|0.（NoUrgentpointer）|.0.（NoAck）|.0.（NoPush）|.0.（NoReset）|.1.SYN|.0（NoFIN）|Window:

3731|Checksum:

0x8A4C|UrgentPointer:

0|NoTCPOptions|TCPOptions|OptionsType:

2MaxinumSegmentSize|Length:

4|MSS:

1460|FCS-FrameCheckSequence|FCS（Calculated）:

0x5A1BD023|=/当使用FTP时候，网络中的防火墙必须要声明相应的端口，防火墙必须要跟踪FTP对话然后检查PORT命令，防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程。

如果网络中使用了NAT（注：

网络地址翻译），那么NAT的网关同样也需要声明相应的端口，网关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址，然后重新计算TCP的Checksum；如果网关没有正确地执行这个操作，FTP就失败了。

黑客可能会利用FTP支持第三方特性这一特点，在PORT命令中设置IP地址和端口号参数来指定一台目标主机的地址和端口号（有时候称这种攻击为FTP反弹攻击），例如黑客可以让一台FTP服务器不断地从它的源端口20发送TCPSYN包给一系列目的端口，让FTP服务器看起来正在进行端口扫描，目的主机不知道攻击来自黑客的主机，看起来攻击象是来自FTP服务器。

一些常用的FTP应用在PORT命令中设置地址为0.0.0.0，这样做的意图是让FTP服务器只需要与打开控制连接的相同客户进行数据连接，设置地址为0.0.0.0可能会让防火墙不知所措。

例如，CISCOPIXIOS6.0以上版本的PIX（注：

CISCO硬件防火墙设备，6.0以上版本为其修正了相关的FTP协议）要求数据连接的IP地址与已经存在的控制连接的IP地址必须相同。

这样做的原因是防止黑客用PORT命令来攻击别的机器，虽然一些FTP应用设置IP地址为0.0.0.0不是有意图的攻击，但在PIX修正协议环境下的确引起了一些问题，同时对其他不允许第三方模式和避免FTP反弹攻击的防火墙来说，这也会引起相同的问题。

2.2FTPPassive模式下面的列表描述了Passive模式的FTP的步骤，步骤1到3和Port模式FTP相同，步骤9到11同样与Port模式FTP最后三步相同。

1、客户端发送一个TCPSYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口；2、服务器端发送SYNACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答；4、当用户请求一个列表（List）或者发送或接收文件时候，客户端软件发送PASV命令给服务器端表明客户端希望进入Passive模式；5、服务器端进行应答，应答包括服务器的IP地址和一个暂时的端口，这个暂时的端口是客户端在打开数据传输连接时应该使用的端口；6、客户端发送一个SYN包，源端口为客户端自己选择的一个暂时端口，目的端口为服务器在PASV应答命令中指定的暂时端口号；7、服务器端发送SYNACK包给客户端，目的端口为客户端自己选择的暂时端口，源端口为PASV应答中指定的暂时端口号；8、客户端发送一个ACK包；9、发送数据的主机以这个连接来发送数据，数据以TCP段（注：

segment，第4层的PDU）形式发送（一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要对方进行ACK确认；10、当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以ACK确认；11、客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器同样也发送它的FIN，客户端用ACK来确认。

下图图示了Passive模式FTP的开始几个步骤：

/=|ftpClientftpServer|（TCP:

21连接初始化,控制端口）|SYN|Portxxxx-Port21TCP|SYN+ACK|PortxxxxPort21|（PASV操作:

被动连接数据端口初始化）|PASV|Portxxxx-Port21|PASVOK,IP,Portyyyy|PortxxxxPortyyyy|SYN+ACK|PortzzzzPortyyyy|（数据操作:

数据传输）|List,RetrorStor|Portxxxx-Port21|Data+ACK|PortzzzzPortyyyy|.|.|.|=/一个PASV请求要求服务器在服务器选择的一个新的端口上接受数据连接，PASV命令没有任何参数，服务器端的回应只是一行显示服务器IP地址和服务器接受连接的TCP端口号。

下图显示了服务器对PASV命令的回应，服务器告诉客户端它在端口5365（192,168,179,100,20,245）上进行监听，计算端口的方法是20*256+245=5365；/=|TCP-TransportControlProtocol|SourcePort:

21ftp|DestinationPort:

1249|SequenceNumber:

4239887193|AckNumber:

36925357|Offset:

5（20bytes）|Reserved:

%000000|Flags:

%011000|0.（NoUrgentpointer）|.1.Ack|.1.Push|.0.（NoReset）|.0.（NoSYN）|.0（NoFIN）|Window:

8760|Checksum:

0x3EAB|UrgentPointer:

0|NoTCPOptions|FTPControl-FileTransferProtocol|Line1:

PASV192,168,0,1,100,20,245|FCS-FrameCheckSequence|FCS（Calculated）:

0xBED4346D|=/当收到PASV命令的回应后，客户端打开一个TCP连接，源端口为一个暂时的端口，目的端口为服务器提供的暂时端口。

下图显示了客户端的TCP连接建立过程，正如上面所说，目的端口为5365。

/=|TCP-TransportControlProtocol|SourcePort:

1250|DestinationPort:

5365|SequenceNumber:

36931503|AckNumber:

0|Offset:

7（28bytes）|Reserved:

%000000|Flags:

%000010|0.（NoUrgentpointer）|.0.（NoAck）|.0.（NoPush）|.0.（NoReset）|.1.SYN|.0（NoFIN）|Window:

8192|Checksum:

0x1A57|UrgentPointer:

0|NoTCPOptions|TCPOptions|OptionsType:

2MaxinumSegmentSize|Length:

4|MSS:

1460|FCS-FrameCheckSequence|FCS（Calculated）:

0x5A1BD023|=/大多数人认为在防火墙网络环境中Passive模式比Port模式的问题小，但我们注意到在Passive模式下，客户端打开一个暂时的目的端口连接，一些防火墙或者CISCO设备的访问列表（ACL）可能会阻止这种连接，同样服务器的回应也是从一个暂时的端口到一个暂时的端口，防火墙或者CISCO的访问列表也会阻止这种连接。

在CISCO路由器上你可以用访问列表关键字established来避免第二个问题，established关键字告诉路由器允许带ACK字端的包通过，服务器端的SYNACK包带有ACK字端。

在新版本PIXIOS中也可以通过fixit关键字建立针对ftp协议的深层状态检测过滤，其他大多数状态检测防火墙例如LinuxNetfilters也支持ftp协议的状态检测，进行准确的PASV动态端口过滤。

2.3用户名和口令的明文传输FTP另一个声名狼藉的问题是它以明文方式发送用户名和口令，也就是不加密地发送。

任何人只要在网络中合适的位置放置一个协议分析仪就可以看到用户名和口令；FTP发送的数据也是以明文方式传输，通过对ftp连接的监控和数据收集就可以收集和重现ftp的数据传输并实现协议连接回放。

事实上很多用户把相同的用户名和口令用在不同的应用中，这样这个问题可能看起来更为糟糕；如果黑客收集到FTP口令，他们也可能就得到了你在线帐号或者其他一些机密数据的口令。

下面是通过tcpdump-一个著名的网络协议分析程序抓取的ftp的完整通讯过程。

/=21:

55:

36.682402IP192.168.0.1.2323192.168.0.3.21:

S2047626269:

2047626269（0）win65535（DF）21:

55:

36.682792IP192.168.0.3.21192.168.0.1.2323:

S3917547047:

3917547047（0）ack2047626270win65535（DF）21:

55:

36.682855IP192.168.0.1.2323192.168.0.3.21:

.ack1win65535（DF）21:

55:

36.854899IP192.168.0.3.21192.168.0.1.2323:

P1:

115（114）ack1win65535（DF）0x00004500009ad57040008006a398c0a80003E.p.0x0010c0a8000100150913e98106287a0c4c1e.（z.L.0x00205018ffffcd5000003232302d54686973P.P.220-This0x00302073657276657220697320666f722070.server.is.for.p0x004072697661746520757365206f6e6c790drivate.use.only.0x00500a32.221:

55:

37.016115IP192.168.0.1.2323192.168.0.3.21:

.ack115win65421（DF）0x000045000028b8d040008006c0aac0a80001E.（.0x0010c0a80003091300157a0c4c1ee981069a.z.L.0x00205010ff8d6f830000P.o.21:

55:

37.016471IP192.168.0.3.21192.168.0.1.2323:

P115:

154（39）ack1win65535（DF）0x00004500004fd58640008006a3cdc0a80003E.O.0x0010c0a8000100150913e981069a7a0c4c1e.z.L.0x00205018ffff074f000032323020506c6561P.O.220.Plea0x0030736520656e74657220796f7572206c6fse.enter.your.lo0x004067696e206e616d65206e6f772e0d0agin.name.now.21:

55:

37.022282IP192.168.0.1.2323192.168.0.3.21:

P1:

12（11）ack154win65382（DF）0x000045000033b8d240008006c09dc0a80001E.3.0x0010c0a80003091300157a0c4c1ee98106c1.z.L.0x00205018ff66c4eb00005553455220656c6cP.f.USER.ell0x0030790d0ay.21:

55:

37.059430IP192.168.0.3.21192.168.0.1.2323:

P154:

188（34）ack12win65524（DF）0x00004500004ad58b40008006a3cdc0a80003E.J.0x0010c0a8000100150913e98106c17a0c4c29.z.L）0x00205018fff4b34300003333312050617373P.C.331.Pass0x0030776f726420726571756972656420666fword.required.fo0x00407220656c6c79202e0d0ar.elly.21:

55:

37.060301IP192.168.0.1.2323192.168.0.3.21:

P12:

27（15）ack188win65348（DF）0x000045000037b8db40008006c090c0a80001E.7.0x0010c0a80003091300157a0c4c29e98106e3.z.L）.0x00205018ff44e47900005041535320383838P.D.y.PASS.8880x003038383838380d0a88888.21:

55:

37.243954IP192.168.0.3.21192.168.0.1.2323:

.ack27win65509（DF）0x000045000028d59d40008006a3ddc0a80003E.（.0x0010c0a8000100150913e98106e37a0c4c38.z.L80x00205010ffe56ec80000000000000000P.n.21:

55:

37.285586IP192.168.0.3.21192.168.0.1.2323:

.188:

1648（1460）ack27win65509（DF）0x0000450005dcd5a4400080069e22c0a80003E.0x0010c0a8000100150913e98106e37a0c4c38.z.L80x00205010ffe5030000003233302d57656c63P.230-Welc0x00306f6d6520746f20766920465450207365ome.to.vi.FTP.se0x0040727665720d0a3233302d0d0a3233302drver.230-.230-0x00504375Cu=/3.03.1SSL/TLS简介先说一下SSL/TLS协议，SSL（SecureSocketLayer）最早是netscape公司设计的用于HTTP协议加密的安全传输协议，SSL工作于TCP协议的传输层（TCP层）和应用程序之间。

作为一个中间层，应用程序只要采用SSL提供的一套SSL套接字API来替换标准的Socket套接字，就可以把程序转换为SSL化的安全网络程序，在传输过程中将由SSL协议实现数据机密性和完整性的保证。

SSL协议的当前版本为3.0，当SSL取得大规模成功后，IETF（www.ietf.org）将SSL作了标准化，规范为RFC2246，并将其称为TLS（TransportLayerSecurity）。

从技术上讲，TLS1.0与SSL3.0的差别非常微小，SSL由于其历史应用的原因在当前的商业应用程序之中使用得更多一些。

TLS协议，RFC2246:

http:

/www.ietf.org/rfc/rfc2246.txt3.2数据机密性和完整性前面多次提到了数据的机密性和完整性两个方面，在此略微解释一下。

数据的机密性确保数据信息机密可靠，不会被没有权限的对象所访问和浏览到，基本的机密性保护手段就是数据加密；而数据的完整性则是指数据在传输和存储过程中将保证数据的唯一和完整，不会被恶意篡改着所修改，保证数据完整性的基本手段主要有数字签名。

这里就牵扯到数据加密领域的两类算法，加密算法和散列算法。

加密算法从数学原理上看可以分为对称加密和非对称加密，从数据处理方法上可以分为流加密和分组加密，本文重点不在此，不再赘述，只举例几种常用的加密算法:

DES,3DES,AES,