FTP的Port模式和Port模式的实例分析

合集下载

Vsftpd配置（Centos7）

Vsftpd配置（Centos7）6.1、Vsftpd介绍：⽤于上传图⽚和使⽤ FTP 协议访问图⽚服务器。

解决分布式环境的图⽚访问问题,使⽤vsftpd对图⽚做统⼀管理。

vsftpd 是“very secure FTP daemon”的缩写，安全性是它的⼀个最⼤的特点。

vsftpd 是⼀个在 UNIX 类操作系统上运⾏的服务的名字，它可以运⾏在诸如 Linux、BSD、Solaris、 HP-UNIX 等系统上⾯，是⼀个完全免费的、开放源代码的 ftp 服务器软件，⽀持很多其他的FTP 服务器所不⽀持的特征。

⽐如：⾮常⾼的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟⽤户、⽀持IPv6、速率⾼等。

vsftpd是⼀款在Linux发⾏版中最受推崇的FTP服务器程序。

特点是⼩巧轻快，安全易⽤。

在开源操作系统中常⽤的FTPD套件主要还有ProFTPD、PureFTPd和wuftpd等。

1、特点:（1）它是⼀个安全、⾼速、稳定的FTP服务器；（2）它可以做基于多个IP的虚拟FTP主机服务器；（3）匿名服务设置⼗分⽅便；（4）匿名FTP的根⽬录不需要任何特殊的⽬录结构，或系统程序或其它的系统⽂件；（5）不执⾏任何外部程序，从⽽减少了安全隐患；（6）⽀持虚拟⽤户，并且每个虚拟⽤户可以具有独⽴的属性配置；（7）可以设置从inetd中启动，或者独⽴的FTP服务器两种运⾏⽅式；（8）⽀持两种认证⽅式（PAP或xinetd/ tcp_wrappers）；（9）⽀持带宽限制；（10）不⽀持⽂件的在线编辑，需要先将⽂件下载，编辑完成后再上传。

VSFTP市场应⽤⼗分⼴范，很多国际性的⼤公司和⾃由开源组织在使⽤.2、vsftpd的访问模式：（1）ftp基于的传输协议：FTP是仅基于tcp的服务，不⽀持udp。

FTP使⽤2个端⼝，⼀个数据端⼝和⼀个命令端⼝（也可叫做控制端⼝）。

通常来说这两个端⼝是21（命令端⼝）和20（数据端⼝）。

sftp配置全过程

1Vsftp3.2 VSFTP 安全与效能兼备的ftp 服务器3.2.1 VSFTP 概述FTP，file transfer protocol，这是档案传输的通讯协议，也是一般最常用来传送档案的方式。

读者在使用RedHat9 的时候，可能会感受到ftp server 有一些改变：第一，就是ftp server 只剩下vsftp，原有的wuftp 等都没放入第二，就是vsftp 从XINETD 中独立出来，并将设定档从/etc/vsftpd.conf 之中移到/etc/vsftpd/vsftpd.conf。

为什么做这样的改变？可以想见的是vsftp 已有独立运作的能力，不需要XINETD 来做更进一步的管控，并且类似sendmail、httpd、ssh、samba 等，将设定文件的放入/etc 下独立的目录。

FTP 分为两类，一种为PORT FTP，也就是一般的FTP 另一类是PASVFTP，分述如下：PORT FTP这是一般形式的FTP，首先会建立控制频道，默认值是port 21，也就是跟port 21 建立联机，并透过此联机下达指令。

第二，由FTP server 端会建立数据传输频道，默认值为20，也就是跟port 20 建立联机，并透过port 20 作数据的传输。

PASV FTP跟PORT FTP 类似，首先会建立控制频道，默认值是port 21，也就是跟port 21 建立联机，并透过此联机下达指令。

第二，会由client 端做出数据传输的请求，包括数据传输port 的数字。

这两者的差异为何？PORT FTP 当中的数据传输port 是由FTP server 指定，而PASV FTP 的数据传输port 是由FTP client 决定。

通常我们使用PASV FTP，是在有防火墙的环境之下，透过client 与server 的沟通，决定数据传输的port。

3.2.2 范例3.2.1. 直接启动VSFTP 服务这个范例是套用RedHat 的预设范例,直接启动vsftp。

FTP时显示500IllegalPORTcommand的解决

FTP时显⽰500IllegalPORTcommand的解决今天使⽤EditPlus打开FTP服务器上的⽂件时，发现连接不了。

在windows的dos窗⼝⽤FTP命令去连时，可以登录，但使⽤ls等命令时，出现：500 Illegal PORT command.425 Use PORT or PASV first.根据提⽰是被动模式的问题。

在EditPlus的FTP设定⾼级选项中，选上passive FTP mode即可。

⽽dos窗⼝的FTP命令则⽆法设置为被动模式。

FTP主/被动模式的原理--------------------------------------------------------------------------------------------------------------------------------------------------FTP 是File Transfer Protocol（⽂件传输协议）的缩写，⽤来在两台计算机之间互相传送⽂件。

相⽐于HTTP，FTP协议要复杂得多。

复杂的原因，是因为FTP协议要⽤到两个TCP连接，⼀个是命令链路，⽤来在FTP客户端与服务器之间传递命令；另⼀个是数据链路，⽤来上传或下载数据。

FTP协议有两种⼯作⽅式：PORT⽅式和PASV⽅式，中⽂意思为主动式和被动式。

PORT（主动）⽅式的连接过程是：客户端向服务器的FTP端⼝（默认是21）发送连接请求，服务器接受连接，建⽴⼀条命令链路。

当需要传送数据时，客户端在命令链路上⽤PORT命令告诉服务器：“我打开了XXXX端⼝，你过来连接我”。

于是服务器从20端⼝向客户端的XXXX端⼝发送连接请求，建⽴⼀条数据链路来传送数据。

PASV（被动）⽅式的连接过程是：客户端向服务器的FTP端⼝（默认是21）发送连接请求，服务器接受连接，建⽴⼀条命令链路。

当需要传送数据时，服务器在命令链路上⽤PASV命令告诉客户端：“我打开了XXXX端⼝，你过来连接我”。

Linux从入门到提高-第章 FTP服务器配置

第21页，共30页。
14.3.5 配置Vsftp服务器在非标准端口工作
在使用FTP服务的过程中，可以使该服务在非标准端口（非21端口）工作。要完成这项工作，需要使Vsftp服务器运行在独立启动方式下，同时修改/添加主配置文件中的listen_port选项，然后重启守护进程。
第22页，共30页。
shutdown、overwrite、upload、alias
ftphosts
allow rose 140.0.0/8
deny jack 140.123.0.0:255.255.0.0
ftpservers
ftpusers
ftpgroups
ftpconvertions
第28页，共30页。
user
= root
server
= /usr/sbin/in.ftpd
server_args
= -l -a
log_on_success += DURATION USERID
log_on_failure
+= USERID
nice
= 10
disable
= no
}
# service xinetd restart
第19页，共30页。
14.3.3 虚拟用户使用Vsftp服务器
虚拟用户是指在FTP服务器上拥有账号，并且该账号只能用于文件传输服务的用户，也称为guest用户。这类用户可以通过输入账号和口令来进行授权登录，其登录目录为指定的目录。一般情况下，这类用户既可以下载文件，也可以上传文件。
配置步骤：
第7页，共30页。
14.1.5 FTP常用命令
PASV：要求服务器将监听数据连接的端口号发送给客户端 PORT：在参数中将客户端监听数据连接的端口号发送给服务器 PWD：显示服务器端的当前工作目录名 QUIT：退出登录并断开连接 RETR：从远程系统取回一个文件 RMD：删除一个目录 STAT：状态信息

基于FTP协议的盗号木马通信流量分析方法研究

基于FTP 协议的盗号木马通信流量分析方法研究**基金项目：中央高校基本科研业务费项目（编号：3242017013）;公安部理论及软科学研究计划（编号：2Q2QLEYpgXY031）;公安部理论■及软科学研究计划（编号：2016LLYpgXY013 ）;公安部技术研究计划课题（课题批准号20igSYJB06 ）;辽宁省社会科学规划基金项目（编号：L16BEXD12 ）沈耀童1徐国天’程斌彳1.中国刑事警察学院2.公安部第三研究所摘要：目前，办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析，获取网络入侵痕迹，但是现有取证方法较为繁琐，对办案人员专业知识水平要求较高，且获取的入侵痕迹不够全面。

针对上述问题，采用通信流量分析法对盗号木马进行取证分析，以使用FTP 协议的HawkEye keylogger 盗号木马为例，通过细致分析木马与外界的通信数据流，根据其连接建立过程，还原盗取的用户隐私信息，确定黑客控制端IP 地址、端□号等入侵线索。

实验结果表明，与现有取证方法相比，该方法能够全页、快速、准确获取盗号木马相关痕迹信息，灵活性较高，既能对常规盗号木马（通常采用SMTP 协议和HTP 协议）进行分析，又能对使用FTP 协议的新型盗号木马进行深入取证，符合公安一线工作需求。

关帧»$原 mW 盗号栉取砌析引言据国家互联网应急中心发布的《2049年中国互联网网络安全报告》显示，2019年，我国境内感染恶意程序的主机数量约582万台，其中信息窃取类恶意软件占恶意程序总量的11.6%[1I o 盗号木马是一种典型的信息窃取类软件，它可以监控受害者的键盘输入记录，获取用户的邮箱、银行卡、网络游戏等账号密码以及手机号、身份证号、电脑桌面应用馳感信息，并将其发攻击者，攻击者用户的敏感信息后，可以对用户实施精准诈骗，或将用户隐私信息售卖，间接促进网络黑灰产业的发展。

因此研究盗号木马的取证方法对公安机关维护网络空间安全有重要意义。

NAT ALG原理与应用

1NAT ALG简介普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能，但对应用层数据载荷中的字段无能为力，在许多应用层协议中，比如多媒体协议（H.323、SIP等）、FTP、SQLNET等，TCP/UDP载荷中带有地址或者端口信息，这些内容不能被NAT进行有效的转换，就可能导致问题。

而NAT ALG （Application Level Gateway，应用层网关）技术能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理，从而保证应用层通信的正确性。

例如，FTP应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由控制连接中的载荷字段信息决定，这就需要ALG来完成载荷字段信息的转换，以保证后续数据连接的正确建立。

2NAT ALG特点NAT ALG为内部网络和外部网络之间的通信提供了基于应用的访问控制，具有以下优点：(1)ALG统一对各应用层协议报文进行解析处理，避免其它模块对同一类报文应用层协议的重复解析，可以有效提高报文转发效率。

(2)可支持多种应用层协议：FTP、H.323（包括RAS、H.225、H.245）、SIP、DNS、ILS、MSN/QQ、NBT、RTSP、SQLNET、TFTP等。

3NAT ALG技术实现先介绍ALG涉及到的两个概念：会话：记录了传输层报文之间的交互信息，包括源IP地址、源端口、目的IP地址、目的端口，协议类型和源/目的IP地址所属的VPN实例。

交互信息相同的报文属于一条流，通常情况下，每个会话对应出方向和入方向的两条流。

动态通道：当应用层协议报文中携带地址信息时，这些地址信息会被用于建立动态通道，后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。

下面以多通道应用协议FTP在NAT组网环境中的ALG应用来具体说明报文载荷的转换过程。

3.1ALG与FTP的应用FTP的两种不同工作模式：PORT（主动模式）与PASV（被动模式）。

VisualC++网络编程案例实战之FTP客户端

4.1.6 FTP常用命令
• 在实际编程中，有些复杂的操作，只是需要客户端发送相关的指令到服务器执行即可。所以，对于用户来说掌握常用的FTP命令是非常重要的。下面列举了一些常用的FTP命令，如表4.3 所示。
表4.3 常用FTP命令及意义
FTP命令 LIST PWD RETR STOR STOU STRU MODE ABORT 意义发送当前工作目录下的文件名列表到客户端显示服务器的当前工作目录名从服务器下载一个文件上传文本文件到服务器，如果文件存在会被覆盖上传文本文件到服务器，但不会覆盖已经存在的文件设置文件的结构指定数据的传输模式通知服务器关闭连接
第4章 FTP客户端
• 本章将带领大家编写一个简单的FTP客户端程序，实现简单的功能：登录FTP服务器，处理服务器上的文件，如上传、下载，最后安全退出服务器。先弄清楚原理，然后我们再考虑怎样去实现。
4.1 FTP工作原理
• FTP的工作原理跟TCP一样，客户端需要先与服务器连接，等待服务器的应答，最后再建立数据通道。所以，FTP浏览器在和服务器建立连接时也需要经过“三次握手”的过程。这表示客户端与服务器之间的连接是可靠、安全的，这也为数据传输提供了可靠的保证。FTP的工作原理如图4.1所示。
图 4.1 FTP工作原理图
4.1.1 FTP数据结构
• 进行FTP编程之前，用户首先需要知道FTP有哪些数据结构。由于在某些主机上保存的文件是面向字节的，某些是面向记录的。所以在FTP中，除了有不同的数据类型以外，还有几种不同的文件结构类型。这样做的目的是为了在不同的主机之间传送文件时能够相互识别。 • 二进制结构：文件中没有内部结构，一般被看作二进制流。 • 文件式结构：由许多记录组成的文件。 • 页面结构：由不同的索引页组成文件。 • 注意：一般情况下，如果没有使用FTP命令去设置文件的结构，则默认的结构是文件式结构。

ftp端口号查看

竭诚为您提供优质文档/双击可除ftp端口号查看篇一：ftp21端口被占用解决办法ftp21端口被占用解决办法(20XX-05-1609:17:12)最近发现服务器ftp21端口被占用，在博客园里找到这个方法不错，来分享下。

有时安装程序时，会出现xx端口被占用的情况，可以通过cmD命令查看什么程序占用stat-ano查看相应端口对应程序的pID例如：c:\>netstat-anoActiveconnectionsprotoLocalAddressForeignAddressstatepIDTcp0.0.0.0:1 350.0.0.0:0LIsTenIng1760Tcp0.0.0.0:4450.0.0.0:0LIsT enIng4Tcp0.0.0.0:29670.0.0.0:0LIsTenIng660Tcp0.0.0.0:33890.0.0.0:0LIsTenIng1712Tcp0.0.0.0:39340.0.0.0: 0LIsTenIng728Tcp0.0.0.0:107000.0.0.0:0LIsTenIng4920 Tcp10.186.20.116:210.0.0.0:0LIsTenIng272Tcp10.186.2 0.116:800.0.0.0:0LIsTenIng4516可查看到占用21端口的进程pID为2722.tasklist查看相应的pID号的程序tasklist/fi"pideqpID"例，c:\tasklist/fi"pideq272"图像名pID会话名会话#内存使用=================================================== ================servuDaemon.exe272console03,980K3.如果要释放该端口用tskillpID命令例，如要释放21端口tskill272--Theend--篇二：FTp21端口和20端口一个是数据端口，一个是控制端口，控制端口一般为21，而数据端口不一定是20，这和FTp的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定FTpport模式和FTppassive模式当你对一个FTp问题进行排错时候，你首先要问的一个问题是使用的是port模式的还是passive模式。

FTP主动模式及被动模式

FTP主动模式及被动模式2005-11-13 4:45:00FTP主动模式及被动模式作者：网络转载FTP的特殊性：大多数的TCP服务是使用单个的连接，一般是客户向服务器的一个周知端口发起连接，然后使用这个连接进行通讯。

但是，FTP协议却有所不同，它使用双向的多个连接，而且使用的端口很难预计。

一般，FTP连接包括：一个控制连接(control connection)这个连接用于传递客户端的命令和服务器端对命令的响应。

它使用服务器的2 1端口，生存期是整个FTP会话时间。

几个数据连接(data connection)这些连接用于传输文件和其它数据，例如：目录列表等。

这种连接在需要数据传输时建立，而一旦数据传输完毕就关闭，每次使用的端口也不一定相同。

而且，数据连接既可能是客户端发起的，也可能是服务器端发起的。

在FTP协议中，控制连接使用周知端口21，因此使用ISA的IP PACKET F ILTER就可以这种连接进行很好的安全保护。

相反，数据传输连接的目的端口通常实现无法知道，因此处理这样的端口转发非常困难。

FTP协议使用一个标准的端口21作为ftp-data端口，但是这个端口只用于连接的源地址是服务器端的情况，在这个端口上根本就没有监听进程。

FTP的数据连接和控制连接的方向一般是相反的，也就是说，是服务器向客户端发起一个用于数据传输的连接。

连接的端口是由服务器端和客户端协商确定的。

FTP协议的这个特征对ISA转发以及防火墙和NAT的配置增加了很多困难。

除此之外，还有另外一种FTP模式，叫做被动模式(passive mod)。

在这种模式下，数据连接是由客户程序发起的，和刚才讨论过的模式(我们可以叫做主动模式)相反。

是否采取被动模式取决于客户程序，在ftp命令行中使用passive命令就可以关闭/打开被动模式。

前面我们讲过，FTP协议的数据传输存在两种模式：主动模式和被动模式。

这两种模式发起连接的方向截然相反，主动模式是从服务器端向客户端发起；被动模式是客户端向服务器端发起连接。

4-SANGFOR_新员工必备知识点__Tcpdump

SINFOR TECHNOLOGIES CO.,LTD.
Page33
3.2.1、未做snat，只做dnat情况(续)
在client的eth0口dump包，如下：
SINFOR TECHNOLOGIES CO.,LTD.
Page34
3.3.1、未做snat，只做dnat情况(续)
在AC lan口dump包，如下：
Sy
Sy n
k Ac ck
n-A
Server 192.200.200.161:1024
Client 192.200.200.219 Access Server IP： 202.96.137.75
SINFOR TECHNOLOGIES CO.,LTD.
Page37
3.3.2、同时做snat及dnat情况(续)
SINFOR TECHNOLOGIES CO.,LTD.
Page6
2.2、tcpdump常用参数
-i -e -c
-n -nn
指定监听的网络接口；在输出行打印出数据链路层的头部信息；截取指定数目的数据包；
不把网络地址转换成名字；不把端口和网络地址转换成名称;
-x -X
-s
将截取的数据包内容以十六进制打印出来；将截取的数据包内容以ASCII文本形式打印出来；
-s 截取指定大小的数据包。
截取数据包缺省大小为96bytes,为了分析数据包内容，可以通过-s参数改变截取数据包大小，s0为完整数据包。
SINFOR TECHNOLOGIES CO.,LTD. Page15
2.2、tcpdump常用参数(续)
-w 将抓包内容保存到指定到文件
可以将抓包文件输出为pcap文件，然后取下来用ethereal等抓包软件打开分析

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Port模式是client端打开一个端口连接ftp Server的20端口下面的东西详细讲解了FTP的port模式 >>2.0<< FTP Port模式和FTP Passive模式当你对一个FTP问题进行排错时候，你首先要问的一个问题是使用的是port模式的还是passive 模式。因为这两种行为迥异，所以这两种模式引起的问题也不同；在过去，客户端缺省为acti ve(port)模式；近来，由于Port模式的安全问题，许多客户端的FTP应用缺省为Passive模式。

>>2.1 FTP Port模式 Port模式的FTP步骤如下： 1、客户端发送一个TCP SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口； 2、服务器端发送SYN ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口； 3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答； 4、当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求，客户端软件使用 PORT命令，这个命令包含了一个暂时的端口，客户端希望服务器在打开一个数据连接时候使用这个暂时端口；PORT命令也包含了一个IP地址，这个IP地址通常是客户自己的IP地址，而且FT P也支持第三方（third-party）模式，第三方模式是客户端告诉服务器端打开与另台主机的连接； 5、服务器端发送一个SYN包给客户端的暂时端口，源端口为20，暂时端口为客户端在PORT命令中发送给服务器端的暂时端口号； 6、客户端以源端口为暂时端口，目的端口为20发送一个SYN ACK包； 7、服务器端发送一个ACK包； 8、发送数据的主机以这个连接来发送数据，数据以TCP段(注：segment，第4层的PDU)形式发送（一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要对方进行ACK确认（注：因为TCP协议是一个面向连接的协议） 9、当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以A CK确认； 10、客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器同样也发送它的FIN，客户端用ACK来确认。