FTP主动模式被动模式测试试验

如何设置IIS、FTP的设置是选主动模式还是被动模式首选被动模式，因为主动模式server要连接client的端口，一般会被client的防火墙阻塞。

在win 2003 中配置被动模式被动模式 FTP 连接是有时称为到 " 服务器管理 ", 因为与之一瞬态端口用作数据连接的服务器端端口服务器响应客户端发出 pasv 命令后,。

由客户端, 数据连接命令发出后服务器连接到客户立即使用端口上面控制连接的客户端端口。

与端口范围 1024 - 65535 内默认模式 Passive - IIS FTP 中随机选择到响应。

要进一步限制这些巨大端口范围, 系统管理员可配置命名 PassivePortRange 元数据库属性关键字，此属性关键字仅存在于 IIS 6.0, for IIS 5.0 在 Windows 2000，系统管理员需要安装Service Pack 4，在系统注册表中 PassivePortRange 项中添加。

更改 PassivePortRange for IIS, 执行过程之一下面部分中所述。

用于 Windows Server 2003要启用直接编辑元数据库）1 . 打开 IIS Microsoft 管理控制台 (MMC)。

2 . 右击本地计算机节点。

3 . 选择属性。

4 请确保启用直接编辑元数据库复选框。

通过 ADSUTIL 脚本配置 PassivePortRange b)1 . 单击开始、运行，键入 cmd, 和然后确定。

2 . 键入 cd Inetpub\AdminScripts，然后按 Enter。

3 . 键入以下命令从命令提示符。

CSCRIPT.exe C:\Inetpub\AdminScripts\adsutil.vbs set/MSFTPSVC/PassivePortRange "5500-5515"4 重新启动 FTP 服务。

通过 ADSUTIL 脚本配置时您会看到以下输出：Microsoft (R) Windows Script Host 版本 5.6版权所有 (C) Microsoft Corporation 1996 - 2001。

FTP主动模式与被动模式FTP是File Transfer Protocol（文件传输协议）的缩写，用来在两台计算机之间互相传送文件。

相比于HTTP，FTP协议要复杂得多。

复杂的原因，是因为FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。

FTP 有两种工作模式：PORT方式和Passive方式中文意思为主动模式和被动模式。

这两种模式的主要区别在于数据连接的发起方和数据连接的端口号。

在主动模式(Port)下，数据连接由服务器发起，也就是三次握手的第一次是服务器先来的，端口号服务器端20，客户端随机。

这时只要放行20 和21 就可以。

在被动模式(Passive)下，数据连接由客户端发起，也就是三次握手的第一次是客户端先来的，端口号服务器端和客户端都是随机。

被动模式解决了防火墙阻止从服务器到客户端的传入数据端口连接的问题。

主动模式的FTP服务器数据端口固定在20，而被动模式(Passive)则在1025-65535之间随机主动模式原理在主动模式下，FTP 客户端首先从一个随机的非特殊端口（N > 1024）连接到FTP 服务器的命令端口（21 端口）。

然后客户端在N+1 端口监听，并通过N+1 端口发送命令给FTP 服务器。

服务器接收到客户端的命令后，会从20 端口连接到客户端指定的数据端口（N+1 端口），然后开始传输数据。

这意味着，在主动模式下，数据连接是由服务器发起的。

被动模式原理在被动模式下，FTP 客户端首先从一个随机的非特殊端口（N > 1024）连接到FTP 服务器的命令端口（21 端口）。

然后客户端发送PASV 命令，告诉服务器它希望使用被动模式。

服务器接收到PASV 命令后，会打开一个随机的非特殊端口（P > 1024），并将P 端口号发送给客户端。

客户端接收到P 端口号后，会从N+1 端口连接到服务器的P 端口，然后开始传输数据。

实训三利用WireShark分析FTP包一、实训目的1.用Wireshark 捕获和分析FTP 通信数据。

2.了解主动模式与被动模式FTP的工作过程。

二、实训设备1.接入Internet的计算机主机；2.FTP server；3.抓包工具WireShark。

三、实训内容1. 关于FTP协议FTP 的主要功能如下：•提供文件的共享（计算机程序 / 数据）；•支持间接使用远程计算机；•使用户不因各类主机文件存储器系统的差异而受影响；•可靠且有效的传输数据。

FTP服务器可以直接被终端用户使用，也可以使用FTP客户端程序访问。

大多数 FTP 控制帧是简单的 ASCII 文本，可以分为 FTP 命令或 FTP 消息。

FTP命令可在FTP命令模式下用“？”或“help”进行学习，FTP消息是对FTP 命令的响应，它由带有解释文本的应答代码构成。

2.安装FTP服务器及Telnet服务器与客户端开始→控制面板→程序或功能：“打开或关闭Windows功能”→打开“Internet信息服务”-选中“FTP服务器”→选中“Telnet客户端”“Telnet服务器”步骤1：打开记事本，新建文件，内容任意，保存文件在“c:\inetpub\ftproot\本人学号”目录下，命名为“abc.txt”步骤2：验证FTP服务器。

启动Web浏览器或资源管理器，地址栏输入ftp://合作同学的IP，以验证FTP服务器是否正常运行。

3. 使用FTP传输文件并捕获与分析数据包步骤1：打开Wireshark，开始捕获。

步骤2：采用命令行连接合作同学的FTP服务器，启动本主机命令行FTP 客户端。

1. 单击开始> 运行，然后键入“cmd”并单击确定。

2. 使用Windows FTP 客户端实用程序启动主机计算机与FTP 服务器的FTP 会话，命令如下：ftp 合作同学的IP。

要进行身份验证，请使用anonymous 为用户ID。

在响应口令提示时，按<ENTER>。

2种模式都是从服务器角度出发的，主动就是服务器主动连接客户机，被动就是服务器做监听，等客户机来连接PORT主动模式：命令发送后是由client建立N+1端口监听，然后让Server的N-1端口(默认为20)来连接这个端口，所以client需要开放1024以上端口。

Flashfxp可以指定port端口范围，方便设置防火墙PASV被动模式：命令发送后是由server建立1024以上端口监听（serv-u可以指定PASV监听端口范围），client用1024以上端口来连接。

整个过程server没有用到20（N-1）端口一、ftp的port和pasv模式的工作方式FTP使用2个TCP端口，首先是建立一个命令端口（控制端口），然后再产生一个数据端口。

国内很多教科书都讲ftp 使用21命令端口和20数据端口，这个应该是教书更新太慢的原因吧。

实际上FTP分为主动模式和被动模式两种，ftp工作在主动模式使用tcp 21和20两个端口，而工作在被动模式会工作在大于1024随机端口。

FTP最权威的参考见RFC 959，有兴趣的朋友可以仔细阅读ftp:///documents/rfc/rfc0959.txt的文档了解FTP详细工作模式和命令。

目前主流的FTP Server服务器模式都是同时支持port和pasv两种方式，但是为了方便管理安全管理防火墙和设置ACL了解FTP Server的port和pasv模式是很有必要的。

1.1 ftp port模式（主动模式）主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N>1024）连接到FTP服务器的命令端口(即tcp 21端口)。

紧接着客户端开始监听端口N+1，并发送FTP命令“port N+1”到FTP服务器。

最后服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1），这样客户端就可以和ftp服务器建立数据传输通道了。

ftp port模式工作流程如下图所示：针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP：1、客户端口>1024端口到FTP服务器的21端口（入：客户端初始化的连接S<-C）2、FTP服务器的21端口到客户端>1024的端口（出：服务器响应客户端的控制端口S->C）3、FTP服务器的20端口到客户端>1024的端口（出:服务器端初始化数据连接到客户端的数据端口S->C）4、客户端>1024端口到FTP服务器的20端口（入：客户端发送ACK响应到服务器的数据端口S<-C）如果服务器的ip为192.168.10.1在H3C 8500的GigabitEthernet 2/1/10 上创建in acl策略允许ftp 主动模式其他禁止：rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024rule permit tcp source 192.168.10.1 0 source-port eq 20 destination-port gt 1024rele deny ip1.2 ftp pasv模式（被动模式）在被动方式FTP中，命令连接和数据连接都由客户端。

FTP主动模式及被动模式2005-11-13 4:45:00FTP主动模式及被动模式作者：网络转载FTP的特殊性：大多数的TCP服务是使用单个的连接，一般是客户向服务器的一个周知端口发起连接，然后使用这个连接进行通讯。

但是，FTP协议却有所不同，它使用双向的多个连接，而且使用的端口很难预计。

一般，FTP连接包括：一个控制连接(control connection)这个连接用于传递客户端的命令和服务器端对命令的响应。

它使用服务器的2 1端口，生存期是整个FTP会话时间。

几个数据连接(data connection)这些连接用于传输文件和其它数据，例如：目录列表等。

这种连接在需要数据传输时建立，而一旦数据传输完毕就关闭，每次使用的端口也不一定相同。

而且，数据连接既可能是客户端发起的，也可能是服务器端发起的。

在FTP协议中，控制连接使用周知端口21，因此使用ISA的IP PACKET F ILTER就可以这种连接进行很好的安全保护。

相反，数据传输连接的目的端口通常实现无法知道，因此处理这样的端口转发非常困难。

FTP协议使用一个标准的端口21作为ftp-data端口，但是这个端口只用于连接的源地址是服务器端的情况，在这个端口上根本就没有监听进程。

FTP的数据连接和控制连接的方向一般是相反的，也就是说，是服务器向客户端发起一个用于数据传输的连接。

连接的端口是由服务器端和客户端协商确定的。

FTP协议的这个特征对ISA转发以及防火墙和NAT的配置增加了很多困难。

除此之外，还有另外一种FTP模式，叫做被动模式(passive mod)。

在这种模式下，数据连接是由客户程序发起的，和刚才讨论过的模式(我们可以叫做主动模式)相反。

是否采取被动模式取决于客户程序，在ftp命令行中使用passive命令就可以关闭/打开被动模式。

前面我们讲过，FTP协议的数据传输存在两种模式：主动模式和被动模式。

这两种模式发起连接的方向截然相反，主动模式是从服务器端向客户端发起；被动模式是客户端向服务器端发起连接。

文汇建站： FTP的两种链接工作模式—主动模式和被动模式写这篇文章主要是因为在使用ftp的时候有时候上传文件会失败，然后就卡住很久，原因就是默认主动模式受限于客户端防火墙的限制，有时候会导致上传文件失败所以整理了区别了一下两种。

一、FTP的两种工作模式FTP两种链接模式：主动模式（Active FTP）和被动模式（Passive FTP）在主动模式下，FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，然后开放N+1号端口进行监听，并向服务器发出PORT N+1命令。

服务器接收到命令后，会用其本地的FTP数据端口（通常是20）来连接客户端指定的端口N+1，进行数据传输。

在被动模式下，FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，同时会开启N+1号端口。

然后向服务器发送PASV命令，通知服务器自己处于被动模式。

服务器收到命令后，会开放一个大于1024的端口P进行监听，然后用PORT P命令通知客户端，自己的数据端口是P。

客户端收到命令后，会通过N+1号端口连接服务器的端口P，然后在两个端口之间进行数据传输。

总的来说，主动模式的FTP是指服务器主动连接客户端的数据端口，被动模式的FTP 是指服务器被动地等待客户端连接自己的数据端口。

被动模式的FTP通常用在处于防火墙之后的FTP客户访问外界FTP服务器的情况，因为在这种情况下，防火墙通常配置为不允许外界访问防火墙之后的主机，而只允许由防火墙之后的主机发起的连接请求通过。

因此，在这种情况下不能使用主动模式的FTP传输，而被动模式的FTP可以良好的工作。

文汇建站： 一般连接FTP客户端软件的连接模式默认为Passive(被动连接)。

即FTP客户端向服务端口（默认是21）发出连接请求，服务端接到请求后建立命令链路。

然后服务端通过命令链路发消息告诉客户端，服务端某个端口位于（1025—65535）之间开放，与客户端建立起数据链路，从而客户端可以进行数据上传与下载。

ftp的主动模式activemode和被动模式passivemode的配置和区别共同点： 客户端先发起命令连接。

不同点： 主动模式：服务端发起数据连接。

客户端⽣成随机数据端⼝ 被动模式：客户端发起数据连接。

客户端和服务端都是随机数据端⼝。

客户端与服务器的命令连接 服务器返回命令"PORT 2024"，告诉客户端（服务器）⽤哪个端⼝侦听数据连接 客户端初始化⼀个从⾃⼰的数据端⼝到服务器端指定的数据端⼝的数据连接。

最后服务器在第4 步中给客户端的数据端⼝返回⼀个"ACK"响应。

1.ftp连接服务度ftp> ls500 Illegal PORT command.ftp: bind: Address already in use然后解决如下ftp> quote pasv227 Entering Passive Mode (192,168,0,112,164,248).ftp> passivePassive mode on.ftp> ls227 Entering Passive Mode (192,168,0,112,169,241).425 Security: Bad IP connecting.这个原因是因为服务器本⾝设置了两个ip地址解决办法是vim /etc/vsftpd/vsftpd.conf添加：pasv_promiscuous=YESftp> quote pasv227 Entering Passive Mode (192,168,0,112,143,83).ftp> passivePassive mode on.ftp> ls227 Entering Passive Mode (192,168,0,112,85,218).150 Here comes the directory listing.drwx------ 2 1001 1001 4096 Mar 06 01:46 test######################################什么叫做PASV mode（被动模式传送)？他是如何⼯作的?FTP的连接⼀般是有两个连接的，⼀个是客户程和服务器传输命令的，另⼀个是数据传送的连接。

.FTP模式介绍FTP的主动模式和被动模式的区别：主动模式：（也叫Standard模式，PORT方式）FTP服务器主动去连接FTP客户端。

FTP客户端告诉FTP服务器使用什么端口进行侦听，FTP服务器和FTP客户端的这个端口进行连接，源端口是20。

被动模式：（也叫Passive模式，也叫PASV方式）FTP服务器被动的等待FTP客户端连接自己。

FTP服务器打开指定范围内的某个端口（也叫自由端口，1024--65535之间），被动的等待客户端进行连接。

主被动模式报文解析建立控制连接的过程登录的时候客户端是44.1.1.44服务器是33.1.1.33，用户名1密码111111通过命令行登录Client：syn 我请求跟你进行连接Server：ack+syn 可以，我也请求跟你连接Client：ack 可以（上面是三次握手）Server：response 我这ready准备好了Client：ack 好的Client：request 我使用的user是1Server：response 请输入密码Client：ack 好的，收到Client：request 我用的密码是111111Server: response 用户名1 ，密码111111，正确，logged in，允许进入Client：ack 好的上面是进行的连接控制的简单过程,FTP服务器使用的端口号是21，FTP客户端使用的端口号是64023。

主动连接：客户端通过PORT命令告诉服务器自己要使用的数据端口号，然后在客户端主动建立起这个端口的监听。

进行文件传输的时候，服务器来连接客户端的这个数据接口，进行数据传输。

FTP客户端想要下载文件，get hfs.exe..Client：request 我发送了PORT命令要使用主动连接，使用64024进行侦听Server：response 主动连接的指令成功Client：request 我想要hfs.exe文件Server：response 为hfs.exe打开数据连接Server：syn 主动请求建立数据连接，源端口号20，目的端口号64024Client：ack+syn 可以，请求与服务器建立连接，sport：64024，dport：20Server：ack 可以之后就是server和client之间传输数据的过程，一直到文件传完Server：response 给client发送一条命令，文件传输okClient：ack 好的以上是主动模式的过程被动连接：FTP客户端发送PASV命令到FTP服务器，想使用PASV方式传输数据。