FTP服務(wù)2種工作方式詳解,PORT方式和PASV方式

2種模式都是從服務(wù)器角度出發(fā)的，主動(dòng)就是服務(wù)器主動(dòng)連接客戶機(jī)，被動(dòng)就是服務(wù)器做監(jiān)聽，等客戶機(jī)來(lái)連接PORT主動(dòng)模式：命令發(fā)送后是由client建立N+1端口監(jiān)聽，然后讓Server的N-1端口（默認(rèn)為20）來(lái)連接這個(gè)端口，所以client需要開放1024以上端口。Flashfxp可以指定port端口范圍，方便設(shè)置防火墻PASV被動(dòng)模式：命令發(fā)送后是由server建立1024以上端口監(jiān)聽（serv-u可以指定PASV監(jiān)聽端口范圍），client用1024以上端口來(lái)連接。整個(gè)過(guò)程server沒(méi)有用到20（N-1）端口一、ftp的port和pasv模式的工作方式FTP使用2個(gè)TCP端口，首先是建立一個(gè)命令端口（控制端口），然后再產(chǎn)生一個(gè)數(shù)據(jù)端口。國(guó)內(nèi)很多教科書都講ftp使用21命令端口和20數(shù)據(jù)端口，這個(gè)應(yīng)該是教書更新太慢的原因吧。實(shí)際上FTP分為主動(dòng)模式和被動(dòng)模式兩種，ftp工作在主動(dòng)模式使用tcp21和20兩個(gè)端口，而工作在被動(dòng)模式會(huì)工作在大于1024隨機(jī)端口。FTP最權(quán)威的參考見RFC959,有興趣的朋友可以仔細(xì)閱讀/documents/rfc/rfc0959.txt的文檔了解FTP詳細(xì)工作模式和命令。目前主流的FTPServer服務(wù)器模式都是同時(shí)支持port和pasv兩種方式，但是為了方便管理安全管理防火墻和設(shè)置ACL了解FTPServer的port和pasv模式是很有必要的。1.1ftpport模式（主動(dòng)模式）主動(dòng)方式的FTP是這樣的：客戶端從一個(gè)任意的非特權(quán)端口N（N>1024）連接到FTP服務(wù)器的命令端口（即tcp21端口）。緊接著客戶端開始監(jiān)聽端口N+1，并發(fā)送FTP命令“portN+到FTP服務(wù)器。最后服務(wù)器會(huì)從它自己的數(shù)據(jù)端口（20）連接到客戶端指定的數(shù)據(jù)端口（N+1），這樣客戶端就可以和ftp服務(wù)器建立數(shù)據(jù)傳輸通道了。ftpport模式工作流程如下圖所示：ServerCLieiit.ServerCLieiit.針對(duì)FTP服務(wù)器前面的防火墻來(lái)說(shuō)，必須允許以下通訊才能支持主動(dòng)方式FTP：1、客戶端口>1024端口到FTP服務(wù)器的21端口（入：客戶端初始化的連接S<-C）2、FTP服務(wù)器的21端口到客戶端>1024的端口（出：服務(wù)器響應(yīng)客戶端的控制端口S->C）3、FTP服務(wù)器的20端口到客戶端〉1024的端口（出:服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口S->C）4、客戶端>1024端口到FTP服務(wù)器的20端口（入：客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口S<-C）如果服務(wù)器的ip為在H3C8500的GigabitEthernet2/1/10上創(chuàng)建inacl策略允許ftp主動(dòng)模式其他禁止：rulepermittcpsource0source-porteq21destination-portgt1024rulepermittcpsource0source-porteq20destination-portgt1024reledenyip1.2ftppasv模式（被動(dòng)模式）在被動(dòng)方式FTP中，命令連接和數(shù)據(jù)連接都由客戶端。當(dāng)開啟一個(gè)FTP連接時(shí)，客戶端打開兩個(gè)任意的非特權(quán)本地端口（N>1024和N+1）。第一個(gè)端口連接服務(wù)器的21端口，但與主動(dòng)方式的FTP不同，客戶端不會(huì)提交PORT命令并允許服務(wù)器來(lái)回連它的數(shù)據(jù)端口，而是提交PASV命令。這樣做的結(jié)果是服務(wù)器會(huì)開啟一個(gè)任意的非特權(quán)端口（P>1024），并發(fā)送PORTP命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來(lái)傳送數(shù)據(jù)。ftppasv模式工作流程如下圖所示：對(duì)于服務(wù)器端的防火墻來(lái)說(shuō)，必須允許下面的通訊才能支持被動(dòng)方式的FTP:1、客戶端>1024端口到服務(wù)器的21端口（入：客戶端初始化的連接S<-C）2、服務(wù)器的21端口到客戶端>1024的端口（出：服務(wù)器響應(yīng)到客戶端的控制端口的連接S->C）3、客戶端>1024端口到服務(wù)器的大于1024端口（入：客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口S<-C）4、服務(wù)器的大于1024端口到遠(yuǎn)程的大于1024的端口（出：服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口S->C）如果服務(wù)器的ip為在H3C8500的GigabitEthernet2/1/10上創(chuàng)建inacl策略允許ftp主動(dòng)模式其他禁止：rulepermittcpsource0source-porteq21destination-portgt1024rulepermittcpsource0source-portgt1024destination-portgt1024reledenyip二、ftp的port和pasv模式的工作方式ftp的port和pasv模式最主要區(qū)別就是數(shù)據(jù)端口連接方式不同，ftpport模式只要開啟服務(wù)器的21和20端口，而ftppasv需要開啟服務(wù)器大于1024所有tcp端口和21端口。重網(wǎng)絡(luò)安全的角度來(lái)看的話似乎ftpport模式更安全，而ftppasv更不安全，那么為什么RFC要在ftpport基礎(chǔ)再制定一個(gè)ftppasv模式呢？其實(shí)RFC制定ftppasv模式的主要目的是為了數(shù)據(jù)傳輸安全角度出發(fā)的，因?yàn)閒tpport使用固定20端口進(jìn)行傳輸數(shù)據(jù)，那么作為黑客很容使用sniffer等探嗅器抓取ftp數(shù)據(jù)，這樣一來(lái)通過(guò)ftpport模式傳輸數(shù)據(jù)很容易被黑客竊取，因此使用pasv方式來(lái)架設(shè)ftpserver是最安全絕佳方案。如果作為一個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員就會(huì)發(fā)現(xiàn)使用ftppasv方式會(huì)給網(wǎng)絡(luò)安全很大隱患，那就是ftppasv需要開啟服務(wù)器tcp大于1024所有端口，這樣對(duì)服務(wù)器的安全保護(hù)是非常不利的。在此我建議兩種方法來(lái)完善FTPPasv模式的端口開放問(wèn)題，第一種就是使用弱洞掃描工具比如Xscan找出服務(wù)器開放的端口然后使用acl把端口deny掉，另外一種方法就是使用具有狀態(tài)檢測(cè)防火墻開啟ftppasv的端口。在ftppasv模式下是使用狀態(tài)檢測(cè)防火墻比acl最大的好處就是使用狀態(tài)檢測(cè)防火墻只要開啟ftp21端口就可以了，狀態(tài)檢測(cè)防火墻會(huì)檢測(cè)客戶端口連接ftpserver的21命令端口，一但檢測(cè)客戶端使用ftp21命令端口然后就會(huì)允許這個(gè)Session使用ftp服務(wù)器大于1024端口，而其他方式是無(wú)法直接訪問(wèn)ftp服務(wù)器大于1024端口。通過(guò)狀態(tài)檢測(cè)防火墻就可以保證ftp服務(wù)器大于1024端口只對(duì)FTPSession開放了。目前像IPTable、ISAServer2000/2004/2006、以及主流硬件防火墻都可以支持狀態(tài)檢測(cè)。參考/share/detail/251462/xianyang1981/blog/item/f17d6f6d8650c0f842169427.html引用

FTP協(xié)議有兩種工作方式：PORT方式和PASV方式，（為主動(dòng)式和被動(dòng)式）主動(dòng)：客戶端向服務(wù)器的FTP端口（默認(rèn)是21）發(fā)送連接請(qǐng)求，服務(wù)器接受連接，建立一條命令鏈路。被動(dòng)：客戶端向服務(wù)器的FTP端口（默認(rèn)是21）發(fā)送連接請(qǐng)求，服務(wù)器接受連接，建立一條命令鏈路也就是主動(dòng)被動(dòng)基本情況下都是21端口發(fā)送的請(qǐng)求命令。我憑自己的學(xué)習(xí)感覺(jué)大家可能在學(xué)習(xí)初期對(duì)公網(wǎng)和內(nèi)網(wǎng)的FTP的兩種工作方式會(huì)容易弄混；我就藍(lán)簡(jiǎn)單說(shuō)一下重點(diǎn)吧。客戶端只有內(nèi)網(wǎng)IP，沒(méi)有公網(wǎng)IP從上面的FTP基礎(chǔ)知識(shí)可知，如果用PORT方式，因?yàn)榭蛻舳藳](méi)有公網(wǎng)IP，F(xiàn)TP將無(wú)法連接客戶端建立數(shù)據(jù)鏈路。因此，在這種情況下，客戶端必須要用PASV方式，才能連接FTP服務(wù)器。大部分FTP站長(zhǎng)發(fā)現(xiàn)自己的服務(wù)器有人能登錄上，有人登錄不上，典型的錯(cuò)誤原因就是因?yàn)榭蛻舳藳](méi)有公網(wǎng)IP，但用了IE作為FTP客戶端來(lái)登錄在主動(dòng)模式中，F(xiàn)TP的兩個(gè)端口是相對(duì)固定的，如果命令端口是x的話，那數(shù)據(jù)端口就是x-1，也就是說(shuō)默認(rèn)情況下，命令端口是21，數(shù)據(jù)端口就是20;你把命令端口改成了600，那么數(shù)據(jù)端口就是599。這樣使用防火墻就很方便了，只要開通這兩個(gè)端口就可以了，但是如果客戶端是共享上網(wǎng)的話那豈不是不能正常使用FTP了，這樣還是不行，一定需要被動(dòng)模式。NAT網(wǎng)關(guān)的工作方式是在TCP/IP數(shù)據(jù)包的包頭里找局域網(wǎng)的源地址和源端口，替換成網(wǎng)關(guān)的地址和端口。對(duì)數(shù)據(jù)包里的內(nèi)容，是不會(huì)改變的。而使用PORT方式登錄FTP的時(shí)候，IP地址與端口信息是在數(shù)據(jù)包里面的，而不是在包頭。因此，沒(méi)有公網(wǎng)IP，使用PORT方式是無(wú)法從internet上的ftp服務(wù)器下載數(shù)據(jù)的。但是，極少數(shù)的NAT網(wǎng)關(guān)也支持PORT方式。這些NAT網(wǎng)關(guān)連數(shù)據(jù)包里面的內(nèi)容都掃描，掃描到PORT指令后會(huì)替換PORT方式的IP和端口。在這種NAT網(wǎng)關(guān)下面，用PORT方式就沒(méi)問(wèn)題了。不過(guò)，這些網(wǎng)關(guān)也只掃描21端口的數(shù)據(jù)包，如果FTP服務(wù)器不是用默認(rèn)的21端口，也無(wú)法使用POR