很多人或許不知道,FTP的模式會戲劇性地影響到它的運行,甚至帶來一系列的網絡安全問題。FTP的模式決定了究竟是由FTP SERVER還是由FTP CLIENT來發起TCP連接。FTP支持以下兩種模式:
1、第一種模式通常也被認爲normal標準模式,雖然我們經常用active模式來提及它,這種模式也是FTP默認的
2、第二種模式就是passive模式。
在active模式下,是由客戶端(client)發起控制信令(port 21),去連接server端的21端口,當客戶端通過了一系列包括用戶名,密碼的驗證後,需要接收數據時,就是由server端初始化TCP連接,使用20端口與客戶端的1023以上的隨機端口進行數據通信。
在passive模式下,客戶端初始化數據通信,使用的目的端口號是由server端隨機提供的。
ACTIVE FTP OPERATION
ACTIVE模式下安全性稍差,同時防火牆的配置也較爲複雜,它必須預見到FTP SERVER端將主動給CLIENT端做數據發送。主動模式下的具體運行機制如下圖所示:
1、客戶端使用源端口5150與server端的21端口通信,請求建立連接。
2、server收到後,發送應答信息,OK(ACK),client and server通過控制端口交換控制信令。
3、當用戶請求列出服務端目錄或下載數據時,客戶端軟件會發送PORT命令,幷包含有大於1023的隨機端口號,告知服務端使用這個端口號將數據發送過來。這裏客戶端採用了5151端口。
4、服務端打開20端口做爲數據發送的源端口,向客戶端的5151端口發送。
5、客戶端應答,傳輸過程結束。
PASSIVE FTP OPERATION
這種模式較爲安全,因爲所有連接都是由客戶端發起,所以連接被竊取的可能性減小了。之所以被稱爲被動模式,是因爲服務端看起來完全是被動的。詳細過程如下:
1、被動模式下,客戶端初始化控制信令連接,使用5150源端口與服務端的21端口建立連接,並使用PASSIVE命令請求進入被動模式。
2、服務端同意進入PASSIVE模式,並隨機選擇一個大於1023的端口號,告知客戶端。
3、客戶端接收到此信息後,使用自已的5151端口與剛纔服務端提供的3268端口進行數據通信,這裏5151是源,3268是目的。
4、服務端收到信息,回傳數據併發送應答ACK(OK)
written by cracker