>><< FTP和TCP端口号
根据是使用Port模式还是Passive模式FTP使用不同的TCP端口号在详细描述FTP前我们来简单讨论一下TCP端口号的一些基本概念TCP使用端口号来标识所发送和接收的应用端口号可以帮助TCP来分离字节流并且帮相应字节传递给正确的应用程序TCP端口号可以是半永久的和暂时的服务器端监听在半永久的端口上来让客户端访问客户端使用暂时的端口在本地标识一个对话客户端端口只在使用TCP服务时候才存在而服务器端口只要服务器在运行就一直在监听
TCP端口可以归为类
众所周知的端口来标识在TCP上运行的标准服务包括FTPHTTPTELNETSMTP等这些端口号码范围为
注册端口号用来标识那些已经向IANA(Internet Assigned Numbers Assigned Numbers Authority)注册的应用注册端口号为
私有端口号是非注册的并且可以动态地分配给任何应用私有端口为注册的端口号本来打算只给注册的应用使用可近年来端口号已经陷入了到达极限的困境你可能会看到本来应该是给注册应用使用的注册端口被非注册应用用做暂时的端口RFC详细标注了众所周知的和注册的端口号然而不幸的是这个RFC文档自从年以来一直没有被更新然后你仍可以从IANA得到一个及时更新的端口列表详细URL为numbers
>><< FTP Port模式和FTP Passive模式
当你对一个FTP问题进行排错时候你首先要问的一个问题是使用的是port模式的还是passive模式因为这两种行为迥异所以这两种模式引起的问题也不同在过去客户端缺省为active(port)模式近来由于Port模式的安全问题许多客户端的FTP应用缺省为Passive模式
>> FTP Port模式
Port模式的FTP步骤如下
客户端发送一个TCP SYN(TCP同步)包给服务器段众所周知的FTP控制端口客户端使用暂时的端口作为它的源端口
服务器端发送SYN ACK(同步确认)包给客户端源端口为目的端口为客户端上使用的暂时端口
客户端发送一个ACK(确认)包客户端使用这个连接来发送FTP命令服务器端使用这个连接来发送FTP应答
当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求客户端软件使用PORT命令这个命令包含了一个暂时的端口客户端希望服务器在打开一个数据连接时候使用这个暂时端口PORT命令也包含了一个IP地址这个IP地址通常是客户自己的IP地址而且FTP也支持第三方(thirdparty)模式第三方模式是客户端告诉服务器端打开与另台主机的连接
服务器端发送一个SYN包给客户端的暂时端口源端口为暂时端口为客户端在PORT命令中发送给服务器端的暂时端口号
客户端以源端口为暂时端口目的端口为发送一个SYN ACK包
服务器端发送一个ACK包
发送数据的主机以这个连接来发送数据数据以TCP段(注segment第层的PDU)形式发送(一些命令如STOR表示客户端要发送数据RETR表示服务器段发送数据)这些TCP段都需要对方进行ACK确认(注因为TCP协议是一个面向连接的协议)
当数据传输完成以后发送数据的主机以一个FIN命令来结束数据连接这个FIN命令需要另一台主机以ACK确认另一台主机也发送一个FIN命令这个FIN命令同样需要发送数据的主机以ACK确认
客户端能在控制连接上发送更多的命令这可以打开和关闭另外的数据连接有时候客户端结束后客户端以FIN命令来关闭一个控制连接服务器端以ACK包来确认客户端的FIN服务器同样也发送它的FIN客户端用ACK来确认
下图图示了FTP PORT模式前几步步骤
/====================================================================\
| |
| [ ftp Client ] [ ftp Server ] |
| |
| (TCP: 连接初始化控制端口) |
| SYN |
| Port xxxx > Port [TCP] |
| SYN+ACK |
| Port xxxx < Port |
| ACK |
| Port xxxx > Port |
| |
| (控制操作: 用户列目录或传输文件) |
| |
| Port IP Port yyyy |
| Port xxxx < Port |
| Port Seccussful |
| Port xxxx < Port |
| List Retr or Stor |
| Port xxxx > Port |
| |
| |
| (TCP: 连接初始化数据端口) |
| SYN |
| Port yyyy < Port |
| SYN+ACK |
| Port yyyy > Port |
| ACK |
| Port yyyy < Port |
| |
| |
| (数据操作: 数据传输) |
| Data + ACK |
| Port yyyy <> Port |
| |
| |
| |
| |
\====================================================================/
FTP Port模式会给网络管理人员在许多方面带来很多问题首先在PORT命令消息中的IP地址和端口号的编码不是直白地显示另外应用层的协议命令理论上不应该包含网络地址信息(注IP地址)因为这打破了协议层的原则并且可能导致协同性和安全性方面的问题
下图是WildPackets EtherPeek协议分析仪解码了PORT命令的地址参数地址参数后是端口号见PORT部分的第一个阿拉伯数字乘以然后加上第个阿拉伯数字就得到端口号所以客户端指定了端口号为*+=
/====================================================================\
| IP Header Internet Protocol Datagram |
| Version: |
| Header Length: ( bytes) |
| |
| |
| |
| Time To Live: |
| Protocol: TCP Transmission Control Protocol |
| Header Checksum: xAA |
| Source IP Address: DEMO |
| Dest IP Address: VI |
| No IP Options |
| |
| TCP Transport Control Protocol |
| Source Port: manageexec |
| Destination Port: ftp |
| Sequence Number: |
| Ack Number: |
| Offset: ( bytes) |
| Reserved: % |
| Flags: % |
| (No Urgent pointer) |
| Ack |
| Push |
| (No Reset) |
| (No SYN) |
| (No FIN) |
| |
| Window: |
| Checksum: xA |
| Urgent Pointer: |
| No TCP Options |
| |
| FTP Control File Transfer Protocol |
| Line : PORT <CR><LF> |
| |
| FCS Frame Check Sequence |
| FCS (Calculated): xFCAF |
\====================================================================/
下图验证了服务器端的确从端口打开到端口的TCP连接
/====================================================================\
| TCP Transport Control Protocol |
| Source Port: ftpdata |
| Destination Port: |
| Sequence Number: |
| Ack Number: |
| Offset: ( bytes) |
| Reserved: % |
| Flags: % |
| (No Urgent pointer) |
| (No Ack) |
| (No Push) |
| (No Reset) |
| SYN |
| (No FIN) |
| |
| Window: |
| Checksum: xAC |
| Urgent Pointer: |
| No TCP Options |
| |
| TCP Options |
| Options Type: Maxinum Segment Size |
| Length: |
| MSS: |
| |
| FCS Frame Check Sequence |
| FCS (Calculated): xABD |
\====================================================================/
当使用FTP时候网络中的防火墙必须要声明相应的端口防火墙必须要跟蹤FTP对话然后检查PORT命令防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程如果网络中使用了NAT(注网络地址翻译)那么NAT的网关同样也需要声明相应的端口网关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址然后重新计算TCP的Checksum如果网关没有正确地执行这个操作FTP就失败了
黑客可能会利用FTP支持第三方特性这一特点在PORT命令中设置IP地址和端口号参数来指定一台目标主机的地址和端口号(有时候称这种攻击为FTP反弹攻击)例如黑客可以让一台FTP服务器不断地从它的源端口发送TCP SYN包给一系列目的端口让FTP