FTP的Port模式和Port模式的实例分析

Port模式是client端打开一个端口连接ftpServer的20端口下面的东西详细讲解了FTP的port模式2.0FTPPort模式和FTPPassive模式当你对一个FTP问题进行排错时候，你首先要问的一个问题是使用的是port模式的还是passive模式。因为这两种行为迥异，所以这两种模式引起的问题也不同；在过去，客户端缺省为active(port)模式；近来，由于Port模式的安全问题，许多客户端的FTP应用缺省为Passive模式。2.1FTPPort模式Port模式的FTP步骤如下：1、客户端发送一个TCPSYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口；2、服务器端发送SYNACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答；4、当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求，客户端软件使用PORT命令，这个命令包含了一个暂时的端口，客户端希望服务器在打开一个数据连接时候使用这个暂时端口；PORT命令也包含了一个IP地址，这个IP地址通常是客户自己的IP地址，而且FTP也支持第三方（third-party）模式，第三方模式是客户端告诉服务器端打开与另台主机的连接；5、服务器端发送一个SYN包给客户端的暂时端口，源端口为20，暂时端口为客户端在PORT命令中发送给服务器端的暂时端口号；6、客户端以源端口为暂时端口，目的端口为20发送一个SYNACK包；7、服务器端发送一个ACK包；8、发送数据的主机以这个连接来发送数据，数据以TCP段(注：segment，第4层的PDU)形式发送（一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要对方进行ACK确认（注：因为TCP协议是一个面向连接的协议）9、当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以ACK确认；10、客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器同样也发送它的FIN，客户端用ACK来确认。下图图示了FTPPORT模式前几步步骤：/====================================================================\|||[ftpClient][ftpServer]||||(TCP:21连接初始化,控制端口)||SYN||Portxxxx----------------------Port21[TCP]||SYN+ACK||Portxxxx----------------------Port21||ACK||Portxxxx----------------------Port21||||(控制操作:用户列目录或传输文件)||||Port,IP,Portyyyy||Portxxxx----------------------Port21||PortSeccussful||Portxxxx----------------------Port21||List,RetrorStor||Portxxxx----------------------Port21||||||(TCP:20连接初始化,数据端口)||SYN||Portyyyy----------------------Port20||SYN+ACK||Portyyyy----------------------Port20||ACK||Portyyyy----------------------Port20||||||(数据操作:数据传输)||Data+ACK||Portyyyy---------------------Port20||.||.||.|||\====================================================================/FTPPort模式会给网络管理人员在许多方面带来很多问题，首先，在PORT命令消息中的IP地址和端口号的编码不是直白地显示。另外，应用层的协议命令理论上不应该包含网络地址信息（注：IP地址），因为这打破了协议层的原则并且可能导致协同性和安全性方面的问题。下图是WildPacketsEtherPeek协议分析仪解码了PORT命令的地址参数，地址参数后是端口号，见PORT192,168,10,232,6,127；6，127部分的第一个阿拉伯数字乘以256，然后加上第2个阿拉伯数字就得到端口号，所以客户端指定了端口号为6*256+127=1663；/====================================================================\|IPHeader-InternetProtocolDatagram||Version:4||HeaderLength:5(20bytes)||||...............||||TimeToLive:128||Protocol:6TCP-TransmissionControlProtocol||HeaderChecksum:0xAA36||SourceIPAddress:192.168.0.1DEMO||Dest.IPAddress:192.168.0.3VI||NoIPOptions||||TCP-TransportControlProtocol||SourcePort:2342manage-exec||DestinationPort:21ftp||SequenceNumber:2435440100||AckNumber:9822605||Offset:5(20bytes)||Reserved:%000000||Flags:%011000||0.....(NoUrgentpointer)||.1....Ack||..1...Push||...0..(NoReset)||....0.(NoSYN)||.....0(NoFIN)||||Window:65150||Checksum:0x832A||UrgentPointer:0||NoTCPOptions||||FTPControl-FileTransferProtocol||Line1:PORT192,168,0,1,9,39CRLF||||FCS-FrameCheckSequence||FCS(Calculated):0xF4C04A4F|\====================================================================/下图验证了服务器端的确从端口20打开到端口1663的TCP连接：/====================================================================\|TCP-TransportControlProtocol||SourcePort:20ftp-data||DestinationPort:1663||SequenceNumber:2578824336||AckNumber:0||Offset:6(24bytes)||Reserved:%000000||Flags:%000010||0.....(NoUrgentpointer)||.0....(NoAck)||..0...(NoPush)||...0..(NoReset)||....1.SYN||.....0(NoFIN)||||Window:3731||Checksum:0x8A4C||UrgentPointer:0||NoTCPOptions||||TCPOptions||OptionsType:2MaxinumSegmentSize||Length:4||MSS:1460||||FCS-FrameCheckSequence||FCS(Calculated):0x5A1BD023|\====================================================================/当使用FTP时候，网络中的防火墙必须要声明相应的端口，防火墙必须要跟踪FTP对话然后检查PORT命令，防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程。如果网络中使用了NAT（注：网络地址翻译），那么NAT的网关同样也需要声明相应的端口，网关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址，然后重新计算TCP的Checksum；如果网关没有正确地执行这个操作，FTP就失败了。黑客可能会利用FTP支持第三方特性这一特点，在PORT命令中设置IP地址和端口号参数来指定一台目标主机的地址和端口号（有时候称这种攻击为FTP反弹攻击），例如黑客可以让一台FTP服务器不断地从它的源端口20发送TCPSYN包给一系列目的端口，让FTP服务器看起来正在进行端口扫描，目的主机不知道攻击来自黑客的主机，看起来攻击象是来自FTP服务器。一些常用的FTP应用在PORT命令中设置地址为0.0.0.0，这样做的意图是让FTP服务器只需要与打开控制连接的相同客户进行数据连接，设置地址为0.0.0.0可能会让防火墙不知所措。例如，CISCOPIXIOS6.0以上版本的PIX（注：CISCO硬件防火墙设备，6.0以上版本为其修正了相关的FTP协议）要求数据连接的IP地址与已经存在的控制连接的IP地址必须相同。这样做的原因是防止黑客用PORT命令来攻击别的机器，虽然一些FTP应用设置IP地址为0.0.0.0不是有意图的攻击，但在PIX修正协议环境下的确引起了一些问题，同时对其他不允许第三方模式和避免FTP反弹攻击的防火墙来说，这也会引起相同的问题。