ftp protocol

RFC http://www.w3.org/Protocols/rfc959/4_FileTransfer.html

http://blog.chinaunix.net/uid-17238776-id-1693218.html

FTP工作流程分析

FTP(File Transfer Protocol)是一个基于 TCP 协议的文件传输协议。通常来说,端口号为 20 称为数据端口,端口号为 21 称为命令端口。FTP 支持“主动”和“被动”两种模式。在“主动”模式下,FTP 客户端会向 FTP 服务端发送 PORT 命令;在“被动”模式下,FTP 客户端会向 FTP 服务端发送 PASV 命令。这些命令是在建立 FTP 会话时通过 FTP 命令通道进行发送的。

FTP PORT:
1,客户端发送 TCP SYN 包给服务端 21 控制端口,客户端使用暂时端口作为它的源端口;
2,服务端发送 SYN ACK 包给客户端,源端口为 21,目的端口为客户端上使用的暂时端口;
3,客户端发送 ACK 包给服务端;客户端使用这个连接来发送 FTP 命令,服务端使用这个连接来发送 FTP 应答;
4,当用户发起列表/发送/接受文件的请求,客户端提交 PORT 命令,这个命令包含了一个客户端希望服务端在打开数据连接时候使用的暂时端口;同时也包含了一个客户端或者客户端希望服务端打开目标主机的 IP 地址;
5,服务端发送 SYN 包给客户端的暂时端口,源端口为 20,暂时端口为客户端在 PORT 命令中发送给服务端的暂时端口号;
6,客户端以源端口为暂时端口,目的端口为 20,发送 SYN ACK 包;
7,服务端发送 ACK 包;
8,当数据传输时,客户端数据以 TCP 段形式发送,这些 TCP 段都需要服务端进行 ACK 确认;
9,当传输完成时,客户端以 FIN 命令来结束数据连接,并需要服务端以 ACK 确认,服务端也发送一个 FIN 命令,并同样需要客户端以 ACK 确认。

FTP PASV:
与 FTP PORT 不同,在 FTP PASV 模式下,客户端不会提交 PORT 命令并允许服务端来回连数据端口,而是提交 PASV 命令 。然后,服务端发送 PORT 命令给客户端,这个命令包含了服务端的 IP 地址与在打开数据连接时候使用的暂时端口。然后,客户端发起从本地端口到服务端暂时端口的连接,用以数据传输。

FTP PORT 对 FTP 服务端的管理有利,但对客户端的管理不利。因为服务端要与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。FTP PASV 对 FTP 客户端的管理有利,但对服务端的管理不利。因为客户端要与服务端的高位随机端口建立连接,而这个端口很有可能被服务端的防火墙阻塞掉

http://www.phpweblog.net/killjin/archive/2008/01/06/2653.html

ftp中主动模式(port)与被动模式(PASV)

目录

  • 开场白
  • 基础
  • 主动FTP
  • 主动FTP的例子
  • 被动FTP
  • 被动FTP的例子
  • 总结
  • 参考资料
  • 附录 1: 配置常见FTP服务器

开场白

处理防火墙和其他网络连接问题时最常见的一个难题是主动FTP与被动FTP的区别以及如何完美地支持它们。幸运地是,本文能够帮助你清除在防火墙环境中如何支持FTP这个问题上的一些混乱。

本文也许不像题目声称的那样是一个权威解释,但我已经听到了很多好的反馈意见,也看到了本文在许多地方被引用,知道了很多人都认为它很有用。虽然我一直在找寻改进的方法,但如果你发现某个地方讲的不够清楚,需要更多的解释,请告诉我!最近的修改是增加了主动FTP和被动FTP会话中命令的例子。这些会话的例子应该对更好地理解问题有所帮助。例子中还提供了非常棒的图例来解释FTP会话过程的步骤。现在,正题开始了...

基础

FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21-命令端口和20-数据端口。但当我们发现根据(FTP工作)方式的不同数据端口并不总是20时,混乱产生了。

主动FTP

主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>;1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。

针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:

    1. 任何端口到FTP服务器的21端口 (客户端初始化的连接 S<-C)
    2. FTP服务器的21端口到大于1023的端口(服务器响应客户端的控制端口 S->C)
    3. FTP服务器的20端口到大于1023的端口(服务器端初始化数据连接到客户端的数据端口 S->C)
    4. 大于1023端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口 S<-C) 

      画出来的话,连接过程大概是下图的样子: 

      在第1步中,客户端的命令端口与FTP服务器的命令端口建立连接,并发送命令“PORT 1027”。然后在第2步中,FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。

      主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说,这是从外部系统建立到内部客户端的连接,这是通常会被阻塞的。

      主动FTP的例子

      下面是一个主动FTP会话的实际例子。当然服务器名、IP地址和用户名都做了改动。在这个例子中,FTP会话从 testbox1.slacksite.com (192.168.150.80),一个运行标准的FTP命令行客户端的Linux工作站,发起到testbox2.slacksite.com (192.168.150.90),一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息,显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。

      仔细考虑这个对话过程我们会发现一些有趣的事情。我们可以看到当 PORT 命令被提交时,它指定了客户端(192.168.150.80)上的一个端口而不是服务器的。当我们用被动FTP时我们会看到相反的现象。我们再来关注PORT命令的格式。就象你在下面的例子看到的一样,它是一个由六个被逗号隔开的数字组成的序列。前四个表示IP地址,后两个组成了用于数据连接的端口号。用第五个数乘以256再加上第六个数就得到了实际的端口号。下面例子中端口号就是( (14*256) + 178) = 3762。我们可以用netstat来验证这个端口信息。

      testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 
      Connected to testbox2.slacksite.com. 
      220 testbox2.slacksite.com FTP server ready. 
      Name (testbox2:slacker): slacker 
      ---> USER slacker 
      331 Password required for slacker. 
      Password: TmpPass 
      ---> PASS XXXX 
      230 User slacker logged in. 
      ---> SYST 
      215 UNIX Type: L8 
      Remote system type is UNIX. 
      Using binary mode to transfer files. 
      ftp> ls 
      ftp: setsockopt (ignored): Permission denied 
      ---> PORT 192,168,150,80,14,178 
      200 PORT command successful. 
      ---> LIST 
      150 Opening ASCII mode data connection for file list. 
      drwx------   3 slacker    users         104 Jul 27 01:45 public_html 
      226 Transfer complete. 
      ftp> quit 
      ---> QUIT 
      221 Goodbye.

      被动FTP

      为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。

      在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

      对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:

      1. 从任何端口到服务器的21端口 (客户端初始化的连接 S<-C)
      2. 服务器的21端口到任何大于1023的端口 (服务器响应到客户端的控制端口的连接 S->C)
      3. 从任何端口到服务器的大于1023端口 (入;客户端初始化数据连接到服务器指定的任意端口 S<-C)
      4. 服务器的大于1023端口到远程的大于1023的端口(出;服务器发送ACK响应和数据到客户端的数据端口 S->C) 

        画出来的话,被动方式的FTP连接过程大概是下图的样子: 

        在第1步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第2步中,服务器返回命令"PORT 2024",告诉客户端(服务器)用哪个端口侦听数据连接。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。

        被动方式的FTP解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是,许多FTP守护程序,包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。

        第二个问题是客户端有的支持被动模式,有的不支持被动模式,必须考虑如何能支持这些客户端,以及为他们提供解决办法。例如,Solaris提供的FTP命令行工具就不支持被动模式,需要第三方的FTP客户端,比如ncftp。

        随着WWW的广泛流行,许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这到底是好还是坏取决于服务器和防火墙的配置。

        被动FTP的例子

        下面是一个被动FTP会话的实际例子,只是服务器名、IP地址和用户名都做了改动。在这个例子中,FTP会话从 testbox1.slacksite.com (192.168.150.80),一个运行标准的FTP命令行客户端的Linux工作站,发起到testbox2.slacksite.com (192.168.150.90),一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息,显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。

        注意此例中的PORT命令与主动FTP例子的不同。这里,我们看到是服务器(192.168.150.90)而不是客户端的一个端口被打开了。可以跟上面的主动FTP例子中的PORT命令格式对比一下。

        testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 
        Connected to testbox2.slacksite.com. 
        220 testbox2.slacksite.com FTP server ready. 
        Name (testbox2:slacker): slacker 
        ---> USER slacker 
        331 Password required for slacker. 
        Password: TmpPass 
        ---> PASS XXXX 
        230 User slacker logged in. 
        ---> SYST 
        215 UNIX Type: L8 
        Remote system type is UNIX. 
        Using binary mode to transfer files. 
        ftp> passive 
        Passive mode on. 
        ftp> ls 
        ftp: setsockopt (ignored): Permission denied 
        ---> PASV 
        227 Entering Passive Mode (192,168,150,90,195,149). 
        ---> LIST 
        150 Opening ASCII mode data connection for file list 
        drwx------   3 slacker    users         104 Jul 27 01:45 public_html 
        226 Transfer complete. 
        ftp>; quit 
        ---> QUIT 
        221 Goodbye.

        总结

        下面的图表会帮助管理员们记住每种FTP方式是怎样工作的:

        主动FTP: 
           命令连接:客户端 >1023端口 -> 服务器 21端口 
           数据连接:客户端 >1023端口 <- 服务器 20端口

        被动FTP: 
           命令连接:客户端 >1023端口 -> 服务器 21端口 
           数据连接:客户端 >1023端口 -> 服务器 >1023端口

        下面是主动与被动FTP优缺点的简要总结:

        主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。

        幸运的是,有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接,那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样,不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险,但它大大减少了危险。详细信息参看附录1。

时间: 2024-08-08 02:12:37

ftp protocol的相关文章

浅议FTP在黑客入侵中的作用

小贴纸:先说下FTP传输时密码是明文,可以用wireshark捕获,方法如下图: 过滤为:ftp protocol,apply,即可在length info中看见ftp用户名,密码(这里不细说,很简单). ===============下面进入正文================= 通过ftp匿名登录入侵主机后,需要上传工具到肉鸡,有时候只能在DOS环境下操作,这时候ftp显得较为方便:一般来说,ftp传输时bin模式比ascii模式传输快:如下图,我们上传了nc到肉鸡上,然后利用前面文章说过的

org.apache.commons.net.ftp

org.apache.commons.NET.ftp Class FTPClient类FTPClient java.lang.Object Java.lang.Object继承 org.apache.commons.net.SocketClient org.apache.commons.net.SocketClient org.apache.commons.net.ftp.FTP org.apache.commons.Net.ftp.FTP org.apache.commons.net.ftp.

【转载】HTTP/FTP客户端开发库:libwww、libcurl、libfetch

网页抓取和ftp访问是目前很常见的一个应用需要,无论是搜索引擎的爬虫,分析程序,资源获取程序,WebService等等都是需 要的,自己开发抓取库当然是最好了,不过开发需要时间和周期,使用现有的Open source程序是个更好的选择,一来别人已经写的很好了,就近考验,二来自己使用起来非常快速,三来自己还能够学习一下别人程序的优点.闲来无事,在网上浏览,就发现了这些好东西,特别抄来分享分享.主要就是libwww.libcurl.libfetch 这三个库,当然,还有一些其他很多更优秀库,文章后面

python ftp学习

This module defines the class FTP and a few related items. The FTP class implements the client side of the FTP protocol. You can use this to write Python programs that perform a variety of automated FTP jobs, such as mirroring other ftp servers. It i

Python的网络编程[1] -&gt; FTP -&gt; FTP 的基本理论

FTP协议 / FTP Protocol FTP全称为File Transfer Protocol(文件传输协议),常用于Internet上控制文件的双向传输,常用的操作有上传和下载.基于TCP/IP,基于RFC959通信协议. 0 FTP理论 / FTP Theory 详细的理论可以参考这里. 1 FTP结构 / FTP Structure FTP如同其他的很多通讯协议,FTP通讯协议也采用客户机 / 服务器(Client / Server)架构.用户可以通过各种不同的FTP客户端程序,借助F

【HTTP/FTP客户端库】

[HTTP/FTP客户端库]资料来源:http://curl.haxx.se/libcurl/competitors.html Free Software and Open Source projects have a long tradition of forks and duplicate efforts. We enjoy "doing it ourselves", no matter if someone else has done something very similar

Active FTP vs. Passive FTP, a Definitive Explanation

原文:http://slacksite.com/other/ftp.html中文翻译:http://www.phpweblog.net/killjin/archive/2008/01/06/2653.html Contents: Introduction The Basics Active FTP Active FTP Example Passive FTP Passive FTP Example Other Notes Summary References Appendix 1: Config

Python著名的lib和开发框架(均为转载)

第一,https://github.com/vinta/awesome-python Awesome Python A curated list of awesome Python frameworks, libraries, software and resources. Inspired by awesome-php. Awesome Python Admin Panels Algorithms and Design Patterns Anti-spam Asset Management A

iptables之layer7扩展

L7-filter:    提供了更多的netfilter模块,可以基于应用层为iptables提供更多功能.类似的还有ipp2p. 注意:软件官网上表明支持的最新内核版本为2.6.x,已经好久没有更新了.3.x的内核未测试. 需要软件包:        kernel-xxx.tar.gz 内核源码包        iptables-xxx.tar.bz2 iptables源码包        netfilter-layer7-xxx.tar.gz l7源码包        l7-protoco