關(guān)于ftp 動態(tài)鏈接 主動被動模式分析

debianarrow

FTP和TCP端口號
根據(jù)是使用Port模式還是Passive模式，F(xiàn)TP使用不同的TCP端口號，在詳細描述FTP前，我們來
簡單討論一下TCP端口號的一些基本概念。TCP使用端口號來標識所發(fā)送和接收的應(yīng)用，端口號
可以幫助TCP來分離字節(jié)流并且?guī)拖鄳?yīng)字節(jié)傳遞給正確的應(yīng)用程序。
TCP端口號可以是半永久的和暫時的。服務(wù)器端監(jiān)聽在半永久的端口上來讓客戶端訪問�？蛻�
端使用暫時的端口在本地標識一個對話，客戶端端口只在使用TCP服務(wù)時候才存在，而服務(wù)器
端口只要服務(wù)器在運行就一直在監(jiān)聽。
TCP端口可以歸為3類：
1、眾所周知的端口來標識在TCP上運行的標準服務(wù)，包括FTP、HTTP、TELNET、SMTP等，這些
端口號碼范圍為0-1023；
2、注冊端口號用來標識那些已經(jīng)向IANA（Internet Assigned Numbers Assigned Numbers
Authority）注冊的應(yīng)用，注冊端口號為1024-49151；
3、私有端口號是非注冊的并且可以動態(tài)地分配給任何應(yīng)用，私有端口為49152-65535；
注冊的端口號本來打算只給注冊的應(yīng)用使用，可近年來端口號已經(jīng)陷入了到達極限的困境，你
可能會看到本來應(yīng)該是給注冊應(yīng)用使用的注冊端口被非注冊應(yīng)用用做暫時的端口。RFC1700詳
細標注了眾所周知的和注冊的端口號，然而不幸的是，這個RFC文檔自從1994年以來一直沒有
被更新，然后你仍可以從IANA得到一個及時更新的端口列表，詳細URL為：
http://www.iana.org/assignments/port-numbers
FTP Port模式和FTP Passive模式
當(dāng)你對一個FTP問題進行排錯時候，你首先要問的一個問題是使用的是port模式的還是passive
模式。因為這兩種行為迥異，所以這兩種模式引起的問題也不同；在過去，客戶端缺省為acti
ve(port)模式；近來，由于Port模式的安全問題，許多客戶端的FTP應(yīng)用缺省為Passive模式。
2.1 FTP Port模式
Port模式的FTP步驟如下：
1、 客戶端發(fā)送一個TCP SYN（TCP同步）包給服務(wù)器段眾所周知的FTP控制端口21，客戶端
使用暫時的端口作為它的源端口；
2、 服務(wù)器端發(fā)送SYN ACK（同步確認）包給客戶端，源端口為21，目的端口為客戶端上使用
的暫時端口；
3、 客戶端發(fā)送一個ACK（確認）包；客戶端使用這個連接來發(fā)送FTP命令，服務(wù)器端使用這個
連接來發(fā)送FTP應(yīng)答；
4、 當(dāng)用戶請求一個列表(List)請求或者發(fā)起一個要求發(fā)送或者接受文件的請求，客戶端軟件使用
PORT命令，這個命令包含了一個暫時的端口，客戶端希望服務(wù)器在打開一個數(shù)據(jù)連接時候使用
這個暫時端口；PORT命令也包含了一個IP地址，這個IP地址通常是客戶自己的IP地址，而且FT
P也支持第三方（third-party）模式，第三方模式是客戶端告訴服務(wù)器端打開與另臺主機的連接；
5、 服務(wù)器端發(fā)送一個SYN包給客戶端的暫時端口，源端口為20，暫時端口為客戶端在PORT命令中
發(fā)送給服務(wù)器端的暫時端口號；
6、 客戶端以源端口為暫時端口，目的端口為20發(fā)送一個SYN ACK包；
7、 服務(wù)器端發(fā)送一個ACK包；
8、 發(fā)送數(shù)據(jù)的主機以這個連接來發(fā)送數(shù)據(jù)，數(shù)據(jù)以TCP段(注：segment，第4層的PDU)形式發(fā)送（
一些命令，如STOR表示客戶端要發(fā)送數(shù)據(jù)，RETR表示服務(wù)器段發(fā)送數(shù)據(jù)），這些TCP段都需要
對方進行ACK確認（注：因為TCP協(xié)議是一個面向連接的協(xié)議）
9、 當(dāng)數(shù)據(jù)傳輸完成以后，發(fā)送數(shù)據(jù)的主機以一個FIN命令來結(jié)束數(shù)據(jù)連接，這個FIN命令需要另一
臺主機以ACK確認，另一臺主機也發(fā)送一個FIN命令，這個FIN命令同樣需要發(fā)送數(shù)據(jù)的主機以A
CK確認；
10、 客戶端能在控制連接上發(fā)送更多的命令，這可以打開和關(guān)閉另外的數(shù)據(jù)連接；有時候客戶端結(jié)
束后，客戶端以FIN命令來關(guān)閉一個控制連接，服務(wù)器端以ACK包來確認客戶端的FIN，服務(wù)器
同樣也發(fā)送它的FIN，客戶端用ACK來確認。
下圖圖示了FTP PORT模式前幾步步驟：
/====================================================================\
| |
| [ ftp Client ] [ ftp Server ] |
| |
| (TCP:21 連接初始化,控制端口) |
| SYN |
| Port xxxx ----------------------> Port 21 [TCP] |
| SYN+ACK |
| Port xxxx  Port 21 |
| |
| (控制操作: 用戶列目錄或傳輸文件) |
| |
| Port, IP, Port yyyy |
| Port xxxx  Port 21 |
| |
| |
| (TCP:20 連接初始化,數(shù)據(jù)端口) |
| SYN |
| Port yyyy  Port 20 |
| ACK |
| Port yyyy  Port 20 |
| . |
| . |
| . |
| |
\====================================================================/
FTP Port模式會給網(wǎng)絡(luò)管理人員在許多方面帶來很多問題，首先，在PORT命令消息中的IP地址和端
口號的編碼不是直白地顯示。另外，應(yīng)用層的協(xié)議命令理論上不應(yīng)該包含網(wǎng)絡(luò)地址信息（注：
IP地址），因為這打破了協(xié)議層的原則并且可能導(dǎo)致協(xié)同性和安全性方面的問題。
下圖是WildPackets EtherPeek協(xié)議分析儀解碼了PORT命令的地址參數(shù)，地址參數(shù)后是端口號，見PORT
192,168,10,232,6,127；6，127部分的第一個阿拉伯?dāng)?shù)字乘以256，然后加上第2個阿拉伯?dāng)?shù)字
就得到端口號，所以客戶端指定了端口號為6*256+127=1663；
/====================================================================\
| IP Header - Internet Protocol Datagram |
| Version: 4 |
| Header Length: 5 (20 bytes) |
| |
| ............... |
| |
| Time To Live: 128 |
| Protocol: 6 TCP - Transmission Control Protocol |
| Header Checksum: 0xAA36 |
| Source IP Address: 192.168.0.1 DEMO |
| Dest. IP Address: 192.168.0.3 VI |
| No IP Options |
| |
| TCP - Transport Control Protocol |
| Source Port: 2342 manage-exec |
| Destination Port: 21 ftp |
| Sequence Number: 2435440100 |
| Ack Number: 9822605 |
| Offset: 5 (20 bytes) |
| Reserved: %000000 |
| Flags: %011000 |
| 0. .... (No Urgent pointer) |
| .1 .... Ack |
| .. 1... Push |
| .. .0.. (No Reset) |
| .. ..0. (No SYN) |
| .. ...0 (No FIN) |
| |
| Window: 65150 |
| Checksum: 0x832A |
| Urgent Pointer: 0 |
| No TCP Options |
| |
| FTP Control - File Transfer Protocol |
| Line 1: PORT 192,168,0,1,9,39 |
| |
| FCS - Frame Check Sequence |
| FCS (Calculated): 0xF4C04A4F |
\====================================================================/
下圖驗證了服務(wù)器端的確從端口20打開到端口1663的TCP連接：
/====================================================================\
| TCP - Transport Control Protocol |
| Source Port: 20 ftp-data |
| Destination Port: 1663 |
| Sequence Number: 2578824336 |
| Ack Number: 0 |
| Offset: 6 (24 bytes) |
| Reserved: %000000 |
| Flags: %000010 |
| 0. .... (No Urgent pointer) |
| .0 .... (No Ack) |
| .. 0... (No Push) |
| .. .0.. (No Reset) |
| .. ..1. SYN |
| .. ...0 (No FIN) |
| |
| Window: 3731 |
| Checksum: 0x8A4C |
| Urgent Pointer: 0 |
| No TCP Options |
| |
| TCP Options |
| Options Type: 2 Maxinum Segment Size |
| Length: 4 |
| MSS: 1460 |
| |
| FCS - Frame Check Sequence |
| FCS (Calculated): 0x5A1BD023 |
\====================================================================/
當(dāng)使用FTP時候，網(wǎng)絡(luò)中的防火墻必須要聲明相應(yīng)的端口，防火墻必須要跟蹤FTP對話然后檢查
PORT命令，防火墻必須要參與從服務(wù)器端到客戶端在PORT命令中指定的端口連接的建立過程。
如果網(wǎng)絡(luò)中使用了NAT（注：網(wǎng)絡(luò)地址翻譯），那么NAT的網(wǎng)關(guān)同樣也需要聲明相應(yīng)的端口，網(wǎng)
關(guān)需要把在PORT命令中指定的IP地址翻譯成分配給客戶的地址，然后重新計算TCP的Checksum
；如果網(wǎng)關(guān)沒有正確地執(zhí)行這個操作，F(xiàn)TP就失敗了。
黑客可能會利用FTP支持第三方特性這一特點，在PORT命令中設(shè)置IP地址和端口號參數(shù)來指定
一臺目標主機的地址和端口號（有時候稱這種攻擊為FTP反彈攻擊），例如黑客可以讓一臺FTP
服務(wù)器不斷地從它的源端口20發(fā)送TCP SYN包給一系列目的端口，讓FTP服務(wù)器看起來正在進行
端口掃描，目的主機不知道攻擊來自黑客的主機，看起來攻擊象是來自FTP服務(wù)器。一些常用的
FTP應(yīng)用在PORT命令中設(shè)置地址為0.0.0.0，這樣做的意圖是讓FTP服務(wù)器只需要與打開控制連接
的相同客戶進行數(shù)據(jù)連接，設(shè)置地址為0.0.0.0可能會讓防火墻不知所措。例如，CISCO PIX IOS
6.0以上版本的PIX（注：CISCO硬件防火墻設(shè)備，6.0以上版本為其修正了相關(guān)的FTP協(xié)議）
要求數(shù)據(jù)連接的IP地址與已經(jīng)存在的控制連接的IP地址必須相同。這樣做的原因是防止黑客用
PORT命令來攻擊別的機器，雖然一些FTP應(yīng)用設(shè)置IP地址為0.0.0.0不是有意圖的攻擊，但在PI
X修正協(xié)議環(huán)境下的確引起了一些問題，同時對其他不允許第三方模式和避免FTP反彈攻擊的防
火墻來說，這也會引起相同的問題。
2.2 FTP Passive模式
下面的列表描述了Passive模式的FTP的步驟，步驟1到3和Port模式FTP相同，步驟9到11同樣與
Port模式FTP最后三步相同。
1、客戶端發(fā)送一個TCP SYN（TCP同步）包給服務(wù)器段眾所周知的FTP控制端口21，客戶端使
用暫時的端口作為它的源端口；
2、服務(wù)器端發(fā)送SYN ACK（同步確認）包給客戶端，源端口為21，目的端口為客戶端上使用
的暫時端口；
3、客戶端發(fā)送一個ACK（確認）包；客戶端使用這個連接來發(fā)送FTP命令，服務(wù)器端使用這個
連接來發(fā)送FTP應(yīng)答；
4、當(dāng)用戶請求一個列表(List)或者發(fā)送或接收文件時候，客戶端軟件發(fā)送PASV命令給服務(wù)器端
表明客戶端希望進入Passive模式；
5、服務(wù)器端進行應(yīng)答，應(yīng)答包括服務(wù)器的IP地址和一個暫時的端口，這個暫時的端口是客戶端
在打開數(shù)據(jù)傳輸連接時應(yīng)該使用的端口；
6、客戶端發(fā)送一個SYN包，源端口為客戶端自己選擇的一個暫時端口，目的端口為服務(wù)器在PASV
應(yīng)答命令中指定的暫時端口號；
7、服務(wù)器端發(fā)送SYN ACK包給客戶端，目的端口為客戶端自己選擇的暫時端口，源端口為PASV
應(yīng)答中指定的暫時端口號；
8、客戶端發(fā)送一個ACK包；
9、發(fā)送數(shù)據(jù)的主機以這個連接來發(fā)送數(shù)據(jù)，數(shù)據(jù)以TCP段(注：segment，第4層的PDU)形式發(fā)送（
一些命令，如STOR表示客戶端要發(fā)送數(shù)據(jù)，RETR表示服務(wù)器段發(fā)送數(shù)據(jù)），這些TCP段都需要
對方進行ACK確認；
10、當(dāng)數(shù)據(jù)傳輸完成以后，發(fā)送數(shù)據(jù)的主機以一個FIN命令來結(jié)束數(shù)據(jù)連接，這個FIN命令需要另一
臺主機以ACK確認，另一臺主機也發(fā)送一個FIN命令，這個FIN命令同樣需要發(fā)送數(shù)據(jù)的主機以A
CK確認；
11、客戶端能在控制連接上發(fā)送更多的命令，這可以打開和關(guān)閉另外的數(shù)據(jù)連接；有時候客戶端結(jié)
束后，客戶端以FIN命令來關(guān)閉一個控制連接，服務(wù)器端以ACK包來確認客戶端的FIN，服務(wù)器
同樣也發(fā)送它的FIN，客戶端用ACK來確認。
下圖圖示了Passive模式FTP的開始幾個步驟：
/====================================================================\
| |
| [ ftp Client ] [ ftp Server ] |
| |
| (TCP:21 連接初始化,控制端口) |
| SYN |
| Port xxxx ----------------------> Port 21 [TCP] |
| SYN+ACK |
| Port xxxx  Port 21 |
| |
| (PASV操作: 被動連接數(shù)據(jù)端口初始化) |
| |
| PASV |
| Port xxxx ----------------------> Port 21 |
| PASV OK, IP, Port yyyy |
| Port xxxx  Port yyyy |
| SYN+ACK |
| Port zzzz  Port yyyy |
| |
| |
| (數(shù)據(jù)操作: 數(shù)據(jù)傳輸) |
| List, Retr or Stor |
| Port xxxx ----------------------> Port 21 |
| Data + ACK |
| Port zzzz  Port yyyy |
| . |
| . |
| . |
| |
\====================================================================/
一個PASV請求要求服務(wù)器在服務(wù)器選擇的一個新的端口上接受數(shù)據(jù)連接，PASV命令沒有任何參
數(shù)，服務(wù)器端的回應(yīng)只是一行顯示服務(wù)器IP地址和服務(wù)器接受連接的TCP端口號。
下圖顯示了服務(wù)器對PASV命令的回應(yīng)，服務(wù)器告訴客戶端它在端口5365（192,168,179,100,20
,245）上進行監(jiān)聽，計算端口的方法是20*256+245=5365；
/====================================================================\
| TCP - Transport Control Protocol |
| Source Port: 21 ftp |
| Destination Port: 1249 |
| Sequence Number: 4239887193 |
| Ack Number: 36925357 |
| Offset: 5 (20 bytes) |
| Reserved: %000000 |
| Flags: %011000 |
| 0. .... (No Urgent pointer) |
| .1 .... Ack |
| .. 1... Push |
| .. .0.. (No Reset) |
| .. ..0. (No SYN) |
| .. ...0 (No FIN) |
| |
| Window: 8760 |
| Checksum: 0x3EAB |
| Urgent Pointer: 0 |
| No TCP Options |
| |
| FTP Control - File Transfer Protocol |
| Line 1: PASV 192,168,0,1,100,20,245 |
| |
| FCS - Frame Check Sequence |
| FCS (Calculated): 0xBED4346D |
\====================================================================/
當(dāng)收到PASV命令的回應(yīng)后，客戶端打開一個TCP連接，源端口為一個暫時的端口，目的端口為
服務(wù)器提供的暫時端口。
下圖顯示了客戶端的TCP連接建立過程，正如上面所說，目的端口為5365。
/====================================================================\
| TCP - Transport Control Protocol |
| Source Port: 1250 |
| Destination Port: 5365 |
| Sequence Number: 36931503 |
| Ack Number: 0 |
| Offset: 7 (28 bytes) |
| Reserved: %000000 |
| Flags: %000010 |
| 0. .... (No Urgent pointer) |
| .0 .... (No Ack) |
| .. 0... (No Push) |
| .. .0.. (No Reset) |
| .. ..1. SYN |
| .. ...0 (No FIN) |
| |
| Window: 8192 |
| Checksum: 0x1A57 |
| Urgent Pointer: 0 |
| No TCP Options |
| |
| TCP Options |
| Options Type: 2 Maxinum Segment Size |
| Length: 4 |
| MSS: 1460 |
| |
| FCS - Frame Check Sequence |
| FCS (Calculated): 0x5A1BD023 |
\====================================================================/
大多數(shù)人認為在防火墻網(wǎng)絡(luò)環(huán)境中Passive模式比Port模式的問題小，但我們注意到在Passive
模式下，客戶端打開一個暫時的目的端口連接，一些防火墻或者CISCO設(shè)備的訪問列表(ACL)可
能會阻止這種連接，同樣服務(wù)器的回應(yīng)也是從一個暫時的端口到一個暫時的端口，防火墻或者
CISCO的訪問列表也會阻止這種連接。在CISCO路由器上你可以用訪問列表關(guān)鍵字"established
"來避免第二個問題，"established"關(guān)鍵字告訴路由器允許帶ACK字端的包通過，服務(wù)器端的S
YN ACK包帶有ACK字端。在新版本PIX IOS中也可以通過fixit關(guān)鍵字建立針對ftp協(xié)議的深層狀
態(tài)檢測過濾，其他大多數(shù)狀態(tài)檢測防火墻例如LinuxNetfilters也支持ftp協(xié)議的狀態(tài)檢測，進行
準確的PASV動態(tài)端口過濾。
2.3 用戶名和口令的明文傳輸
FTP另一個聲名狼藉的問題是它以明文方式發(fā)送用戶名和口令，也就是不加密地發(fā)送。任何人
只要在網(wǎng)絡(luò)中合適的位置放置一個協(xié)議分析儀就可以看到用戶名和口令；FTP發(fā)送的數(shù)據(jù)也是
以明文方式傳輸，通過對ftp連接的監(jiān)控和數(shù)據(jù)收集就可以收集和重現(xiàn)ftp的數(shù)據(jù)傳輸并實現(xiàn)協(xié)
議連接回放。事實上很多用戶把相同的用戶名和口令用在不同的應(yīng)用中，這樣這個問題可能
看起來更為糟糕；如果黑客收集到FTP口令，他們也可能就得到了你在線帳號或者其他一些
機密數(shù)據(jù)的口令。
下面是通過tcpdump -- 一個著名的網(wǎng)絡(luò)協(xié)議分析程序抓取的ftp的完整通訊過程。
/=================================================================\
21:55:36.682402 IP 192.168.0.1.2323 > 192.168.0.3.21: S 2047626269:2047626269(0)
win 65535  (DF)
21:55:36.682792 IP 192.168.0.3.21 > 192.168.0.1.2323: S 3917547047:3917547047(0)
ack 2047626270 win 65535  (DF)
21:55:36.682855 IP 192.168.0.1.2323 > 192.168.0.3.21: . ack 1 win 65535 (DF)
21:55:36.854899 IP 192.168.0.3.21 > 192.168.0.1.2323: P 1:115(114) ack 1 win 65535
(DF)
0x0000 4500 009a d570 4000 8006 a398 c0a8 0003 E....p@.........
0x0010 c0a8 0001 0015 0913 e981 0628 7a0c 4c1e ...........(z.L.
0x0020 5018 ffff cd50 0000 3232 302d 5468 6973 P....P..220-This
0x0030 2073 6572 7665 7220 6973 2066 6f72 2070 .server.is.for.p
0x0040 7269 7661 7465 2075 7365 206f 6e6c 790d rivate.use.only.
0x0050 0a32 .2
21:55:37.016115 IP 192.168.0.1.2323 > 192.168.0.3.21: . ack 115 win 65421 (DF)
0x0000 4500 0028 b8d0 4000 8006 c0aa c0a8 0001 E..(..@.........
0x0010 c0a8 0003 0913 0015 7a0c 4c1e e981 069a ........z.L.....
0x0020 5010 ff8d 6f83 0000 P...o...
21:55:37.016471 IP 192.168.0.3.21 > 192.168.0.1.2323: P 115:154(39) ack 1 win
65535 (DF)
0x0000 4500 004f d586 4000 8006 a3cd c0a8 0003 E..O..@.........
0x0010 c0a8 0001 0015 0913 e981 069a 7a0c 4c1e ............z.L.
0x0020 5018 ffff 074f 0000 3232 3020 506c 6561 P....O..220.Plea
0x0030 7365 2065 6e74 6572 2079 6f75 7220 6c6f se.enter.your.lo
0x0040 6769 6e20 6e61 6d65 206e 6f77 2e0d 0a gin.name.now...
21:55:37.022282 IP 192.168.0.1.2323 > 192.168.0.3.21: P 1:12(11) ack 154 win 65382
(DF)
0x0000 4500 0033 b8d2 4000 8006 c09d c0a8 0001 E..3..@.........
0x0010 c0a8 0003 0913 0015 7a0c 4c1e e981 06c1 ........z.L.....
0x0020 5018 ff66 c4eb 0000 5553 4552 2065 6c6c P..f....USER.ell
0x0030 790d 0a y..
21:55:37.059430 IP 192.168.0.3.21 > 192.168.0.1.2323: P 154:188(34) ack 12 win
65524 (DF)
0x0000 4500 004a d58b 4000 8006 a3cd c0a8 0003 E..J..@.........
0x0010 c0a8 0001 0015 0913 e981 06c1 7a0c 4c29 ............z.L)
0x0020 5018 fff4 b343 0000 3333 3120 5061 7373 P....C..331.Pass
0x0030 776f 7264 2072 6571 7569 7265 6420 666f word.required.fo
0x0040 7220 656c 6c79 202e 0d0a r.elly....
21:55:37.060301 IP 192.168.0.1.2323 > 192.168.0.3.21: P 12:27(15) ack 188 win
65348 (DF)
0x0000 4500 0037 b8db 4000 8006 c090 c0a8 0001 E..7..@.........
0x0010 c0a8 0003 0913 0015 7a0c 4c29 e981 06e3 ........z.L)....
0x0020 5018 ff44 e479 0000 5041 5353 2038 3838 P..D.y..PASS.888
0x0030 3838 3838 380d 0a 88888..
21:55:37.243954 IP 192.168.0.3.21 > 192.168.0.1.2323: . ack 27 win 65509 (DF)
0x0000 4500 0028 d59d 4000 8006 a3dd c0a8 0003 E..(..@.........
0x0010 c0a8 0001 0015 0913 e981 06e3 7a0c 4c38 ............z.L8
0x0020 5010 ffe5 6ec8 0000 0000 0000 0000 P...n.........
21:55:37.285586 IP 192.168.0.3.21 > 192.168.0.1.2323: . 188:1648(1460) ack 27 win
65509 (DF)
0x0000 4500 05dc d5a4 4000 8006 9e22 c0a8 0003 E.....@...."....
0x0010 c0a8 0001 0015 0913 e981 06e3 7a0c 4c38 ............z.L8
0x0020 5010 ffe5 0300 0000 3233 302d 5765 6c63 P.......230-Welc
0x0030 6f6d 6520 746f 2076 6920 4654 5020 7365 ome.to.vi.FTP.se
0x0040 7276 6572 0d0a 3233 302d 0d0a 3233 302d rver..230-..230-
0x0050 4375 Cu


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u/29478/showart_258935.html