前 言
FTP(File Transfer Protocol,檔案傳輸協議)是網際網路上常用的協議之一，人們用FTP實現互連網上的檔案傳輸。由於TCP/IP協議族在設計時是處在一個相互信任的 平臺上的，使得在網路安全越來越被重視的今天，TCP/IP協議族的安全性也成為了安全界研究的一個重點，著名的ARP欺騙，交換環境下的資料監聽，中間 人攻擊，以及DDOS，都利用了TCP/IP協議的脆弱性，FTP協議也或多或少的存在著一些問題，本文從FTP協議本身出來，探討一下FTP協議的安全 性。

第一章 FTP協議
一、協議簡介
FTP協議和HTTP協議類似，都是採用的TCP連線，但與HTTP協議不同的是，HTTP協 議的所有資料都是通過80埠進行傳輸(這裡不考慮SSL)，而FTP把資料和命令分開來處理，我們暫且把它們分別命名為“命令通道”和“資料通道”。命 令通道一般是在我們熟悉的21埠，而資料通道通常是一個高階口。例如客戶機要從FTP伺服器上獲取某個檔案，首先由客戶機登入伺服器，與伺服器建立連 接，這就是我們前面講的“命令通道”，客戶機從這條通道將請求檔案的命令發往伺服器，伺服器接到此命令後將與客戶機重新建立一條連線，這就是我們面前講的 “資料通道”，檔案資料將通過資料通道傳送到客戶機。這裡我們用圖1-1來表示檔案傳輸中的處理過程

使用者介面
|
| 命令通道
使用者協議直譯器--------------伺服器協議介面
|
| 資料通道
使用者資料傳輸功能-----------伺服器資料傳輸功能

二、資料表示
FTP協議規範提供了控制檔案傳送與儲存的多種選擇。在以下四個方面都須作出一個選擇。
1、檔案型別
(1)ASCII碼檔案型別 一般情況下ASCII碼檔案型別是預設選擇的。
(2)EBCDIC檔案型別 該型別傳輸方式要求兩端都是EBCDIC系統。
(3)影象檔案型別(也稱二進位制型別) 資料傳送呈現為一個位元流，通常用於傳輸二進位制檔案
(4)本地檔案型別 該方式在具有不同位元組大小的主機之間傳輸二進位制檔案。

2、格式控制
該選項只對ASCII和EBCDIC檔案有效。
(1)非列印
(2)遠端登入格式控制
(3)Fortran回車控制

3、結構
(1)檔案結構
(2)記錄結構
(3)頁結構

4、傳輸方式
(1)流方式
(2)塊方式
(3)壓縮方式

三、FTP命令
FTP命令和應答是在命令通道以ASCII碼開形式傳送的，以下給出常用的命令及命令的相關說明：
命令 說 明
ABOR 放棄先前的FTP命令和資料轉輸
LIST 列表顯示檔案或目錄
PASS 伺服器上的口令
PORT 客戶IP地址和埠
QUIT 從伺服器上登出
RETR 取一個檔案
STOR 存一個檔案
SYST 伺服器返回系統型別
TYPE 說明檔案型別
USER 伺服器上的使用者名稱

四、FTP應答
FTP應答都是ASCII碼形式的3位數字，並跟有報文選項。3位數字每一位都有不同的意義，這裡給出一些常見的反回數字：
125 資料通道已經開啟;傳輸開始。
200 就緒命令。
214 幫助報文。
331 使用者名稱就緒，要求輸入口令。
425 不能開啟資料通道。
500 語法錯誤(未認可命令)。
501 語法錯誤(無效引數)。
502 未實現的MODE(方式命令)型別。

五、連線管理
我們在前面講了FTP的命令傳輸和資料傳輸是通過不同的埠進行傳輸的，連線管理也就理所當然的成了FTP協議的核心問題。其中最關鍵的又是資料通道的管理。
資料通道有以下三大用途：
1>從客戶向伺服器傳送一個檔案。
2>從伺服器向客戶傳送一個檔案。
3>從伺服器向客戶傳送檔案域目錄列表。
其中傳輸模式又有主動FTP和被動FTP之分。主動FTP的一般過程如下：
1、客戶發出命令建立資料連線。
2、客戶通常在客戶端主機上為所在資料連線選擇一個臨時埠號。客戶從該埠釋出一個被動的開啟。
3、客戶使用PORT命令從命令通道把資料通道的埠發向伺服器。
4、伺服器在命令通道上接收埠號，並向客戶端主機上的埠發存一個主動的開啟。這時伺服器的資料通道使用的是20埠。
而被動FTP與主動FTP不同的是它不是由客戶主機開一個臨時埠，而是由伺服器開一個臨時埠等待客戶機的連線。Fedora自帶的vsftp就是採用的被動的傳輸模式。下面是從登入vsftp，到執行ls,再到退出的全過程。
[[email protected] xinhe]$ ftp -d xxx.xxx.xxx.xxx
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
220 Welcome to ylyz FTP service.
Name (xxx.xxx.xxx.xxx:xinhe): xplore
---> USER xinhe
331 Please specify the password.
Password:
---> PASS XXXX
230 Login successful.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
ftp: setsockopt (ignored): Permission denied
---> PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,204,73)
---> LIST
150 Here comes the directory listing.
drwxr-xr-x 11 48 48 4096 Jul 21 10:52 xxx
drwxr-xr-x 19 48 48 4096 Jul 31 14:18 xxxx
drwx------ 2 0 0 16384 Jun 23 03:18 lost+found
drwxr-xr-x 3 510 510 4096 Aug 03 05:42 software
drwxr-xr-x 2 510 510 4096 Jun 30 09:34 tmp
drwxr-xr-x 6 510 510 4096 Jun 27 08:17 xxxxx
drwxrwxr-x 10 501 501 4096 Aug 12 20:35 xxxxxxx
-rw-r--r-- 1 510 510 12649185 Aug 12 20:34 xxxx
drwxr-xr-x 7 501 12 4096 Jul 03 15:13 xinhe
drwxr-xr-x 7 510 510 4096 Aug 13 19:08 zwell
226 Directory send OK.
Ftp> bye
---> QUIT
221 Goodbye.

以上就是登入某臺vsftp的伺服器，執行了一個ls然後再退出的全過程，以上是採用的被動傳輸模式，關鍵看這一句：
---> PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,204,73)

這一句告訴了我們伺服器的IP和開臨時資料埠，接著便是登入到這一臨時埠 52297 ，臨時埠的演算法：204*256+73。為了更清楚的瞭解之過程，我們對這一過程的資料傳送進行了監視。以下是客戶機登入臨時埠過程中的一段
08/24-15:24:24.052846 0:E0:4C:F0:E0:EA -> 0:D0:F8:51:FC:81 type:0x800 len:0x4A
192.168.10.8:32791 -> xxx.xxx.xxx.xxx:52297 TCP TTL:64 TOS:0x0 ID:39780 IpLen:20 DgmLen:60 DF
******S* Seq: 0x42206DD2 Ack: 0x0 Win: 0x16D0 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 849590 0 NOP WS: 0
注：由於測式過程中的伺服器是公網上的真實伺服器，故屏弊其地址。

第二章 安全隱患

以上我們討論了FTP協議本身和FTP的具體傳輸過程，在這一過程中，很多地方都存在著安全隱患，隨著網際網路和普及了深入，網路安全也越來越被人們 重視，在這裡我把一些常見的關於FTP的安全隱患提出來，希望引起人們對FTP安全的重視，使FTP伺服器和資料傳輸過程更加安全。
一、FTP伺服器軟體漏洞
這 類安全隱患不是本文討論的重點，但是在這裡必須把它提出來，因為它對於FTP服務供應商來說就是惡夢，也是倍受黑客們關注的焦點，常用的FTP服務軟體有 Wu-ftpd, ProFTPD,vsftpd,以及windows下常用的Serv-U等，最常見也最可怕的漏洞就是緩衝區溢位，近來Wu-ftpd和Serv-U的溢 出漏洞層出不窮，ProFTPD也出現過緩衝區溢位，目前比較安全的還是vsftp，必競是號稱非常安全的FTP。

二、明文口令
前面講過了，TCP/IP協議族的設計在地相互信任和安全的基礎上的，FTP的設計當然也沒有采用加密傳送，這樣的話，FTP客戶與伺服器之前所有的資料傳送都是通過明文的方式，當然也包括了口令。
至 從有了交換環境下的資料監聽之後，這種明文傳送就變得十分危險，因為別人可能從傳輸過程過捕獲一些敏感的資訊，如使用者名稱和口令等。像HTTPS和SSH都 採用加密解決了這一問題。而FTP仍然是明文傳送，而像UINX和LINUX這類系統的ftp賬號通常就是系統帳號，(vsftp就是這樣做的)。這樣黑 客就可以通過捕獲FTP的使用者名稱和口令來取得系統的帳號，如果該帳號可以遠端登入的話，通常採用本地溢位來獲得root許可權。這樣這臺FTP伺服器就被黑 客控制了。
以下是我捕獲的明文傳送的資料：
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

08/24-15:24:13.511233 0:E0:4C:F0:E0:EA -> 0:D0:F8:51:FC:81 type:0x800 len:0x4F
192.168.10.8:32790 -> xxx.xxx.xxx.xxx:21 TCP TTL:64 TOS:0x10 ID:36423 IpLen:20 DgmLen:65 DF
***AP*** Seq: 0x407F7F77 Ack: 0x1BD963BF Win: 0x16D0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 848536 1353912910
55 53 45 52 20 78 70 6C 6F 72 65 0D 0A USER xinhe..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

08/24-15:24:13.557058 0:D0:F8:51:FC:81 -> 0:E0:4C:F0:E0:EA type:0x800 len:0x42
xxx.xxx.xxx.xxx:21 -> 192.168.10.8:32790 TCP TTL:56 TOS:0x0 ID:29145 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x1BD963BF Ack: 0x407F7F84 Win: 0x16A0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 1353916422 848536

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

08/24-15:24:13.560516 0:D0:F8:51:FC:81 -> 0:E0:4C:F0:E0:EA type:0x800 len:0x64
xxx.xxx.xxx.xxx:21 -> 192.168.10.8:32790 TCP TTL:56 TOS:0x0 ID:29146 IpLen:20 DgmLen:86 DF
***AP*** Seq: 0x1BD963BF Ack: 0x407F7F84 Win: 0x16A0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 1353916426 848536
33 33 31 20 50 6C 65 61 73 65 20 73 70 65 63 69 331 Please speci
66 79 20 74 68 65 20 70 61 73 73 77 6F 72 64 2E fy the password.
0D 0A ..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

08/24-15:24:13.571556 0:E0:4C:F0:E0:EA -> 0:D0:F8:51:FC:81 type:0x800 len:0x42
192.168.10.8:32790 -> xxx.xxx.xxx.xxx:21 TCP TTL:64 TOS:0x10 ID:36424 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x407F7F84 Ack: 0x1BD963E1 Win: 0x16D0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 848542 1353916426

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

08/24-15:24:21.364315 0:E0:4C:F0:E0:EA -> 0:D0:F8:51:FC:81 type:0x800 len:0x54
192.168.10.8:32790 -> xxx.xxx.xxx.xxx:21 TCP TTL:64 TOS:0x10 ID:36425 IpLen:20 DgmLen:70 DF
***AP*** Seq: 0x407F7F84 Ack: 0x1BD963E1 Win: 0x16D0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 849321 1353916426
50 41 53 53 20 78 70 6C 6F 72 65 5F 32 30 30 34 PASS test
0D 0A ..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
這樣就我們就可以看到該ftp伺服器上的使用者名稱是:xinhe和密碼:test。

三、FTP旗標
這個問題相對來說不是很嚴重，現在很多服務軟體都有這類問題，黑客在發起攻擊之前一般要先確定對方所用的版本號。這樣便於選擇攻擊程式。以下是一個例子：
[[email protected] xinhe]$ ftp xxx.xxx.xxx.xxx
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
220-Serv-U FTP Server v5.1 for WinSock ready...
220 S TEAM
這此資訊我們可知該伺服器使用的服務軟體可能就是Serv-U 5.1

四、通過FTP伺服器進行埠掃描
FTP客戶端所傳送的PORT命令告訴伺服器FTP伺服器傳送資料時應當連向的IP和埠，通常，這就是FTP客戶所在機器的IP地址及其所繫結的埠。然而FTP協議本身並沒有要求客戶傳送的PORT命令中必須指定自已的IP。
利用這一點，黑客就可以通過第三方FTP伺服器對目標機器進行埠掃描，這種方式一般稱為FTP反射，對黑客而言，這種掃描方式具有以下兩個優點：
(1)提供匿名性
由於埠掃描的源地址為FTP伺服器的IP地址，而不是黑客的機器，所以這種方式很好的隱藏了黑客的真實IP。
(2)避免阻塞
由於通過第三方FTP伺服器進行掃描，即使目標機器通過新增核心ACL或無效路由來自動阻塞對其進行掃描的機器，但黑客可以過不過的FTP伺服器來完成其掃描工作。
Nmap就可以實現這一掃描過程，以下是一次利用ftp伺服器進行掃描的例項。
[[email protected] xinhe]$ nmap -b xinhe:[email protected]:21 -v xxx.xxx.xxx.xxx
Hint: if your bounce scan target hosts aren't reachable from here, remember to use -P0 so we don't try and ping them prior to the scan

Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2004-08-24 20:16 CST
Resolved ftp bounce attack proxy to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Machine xxx.xxx.xxx.xxx MIGHT actually be listening on probe port 80
Host xxx.xxx.xxx.xxx appears to be up ... good.
Attempting connection to ftp://xinhe:[email protected]:21
Connected:220 Welcome to FTP service.
Login credentials accepted by ftp server!
Initiating TCP ftp bounce scan against xxx.xxx.xxx.xxx at 20:16
Adding open port 237/tcp
Deleting port 237/tcp, which we thought was open
Changed my mind about port 237
Adding open port 434/tcp
Deleting port 434/tcp, which we thought was open
Changed my mind about port 434
Adding open port 1509/tcp
Deleting port 1509/tcp, which we thought was open
Changed my mind about port 1509
Adding open port 109/tcp
Deleting port 109/tcp, which we thought was open
Changed my mind about port 109
Adding open port 766/tcp
Deleting port 766/tcp, which we thought was open
Changed my mind about port 766
Adding open port 1987/tcp
Deleting port 1987/tcp, which we thought was open
Changed my mind about port 1987
Adding open port 5998/tcp
Deleting port 5998/tcp, which we thought was open
Changed my mind about port 5998
Adding open port 1666/tcp
Deleting port 1666/tcp, which we thought was open
Changed my mind about port 1666
Adding open port 506/tcp
Deleting port 506/tcp, which we thought was open
Changed my mind about port 506
caught SIGINT signal, cleaning up

五、資料劫持
我們在前面講了FTP的資料傳輸過程，同樣FTP協議本身本並沒有要求傳輸命令的客戶IP和進行資料傳輸的客戶IP一致，這樣黑客就有可能劫持到客戶和伺服器之間傳送的資料。根據資料傳輸的模式可把資料劫持分為主動資料劫持和被動資料劫持。
1、被動資料劫持
跟據前面講的被動傳輸過程我們可以看出，在FTP客戶端發出PASV或PORT命令之後並且在發出資料請求之前，存在一個易受攻擊的視窗。如果黑客能猜到這個埠，就能夠連線並載取或替換正在傳送的資料。
要實現被動資料劫持就必須知道伺服器上開啟的臨時埠號，然後很多伺服器並不是隨機選取埠，而是採用遞增的方式，這樣黑客要猜到這個埠號就不是很難了。
2、主動資料劫持
主動資料劫持比被動資料劫持要困難很多，因為在主動傳輸的模式下是由客戶開啟臨時埠來進行資料傳輸，而黑客是很難找到客戶的IP和臨時埠的。

第三章 安全策略
一、使用較比安全的系統和FTP服務軟體
這裡安全的系統主要是最好不要採用windows系統作服務 器，因為系統本身的安全性就很成問題，windows每年都要暴N個漏洞，一旦有溢位漏洞很可能就能拿到管理員許可權。一旦系統被入侵了，執行在此係統之上 的服務也就無安全性可言。Linux和BSD都將是不錯的選擇。
服務軟體採用漏洞比較少的，如vsftp，而且確保版本的更新。

二、使用密文傳輸使用者名稱和口令
這裡我們可以採用scp和sftp,也可以使用SSH來轉發。這樣即使黑客能監聽到客戶與伺服器之間的資料交換，沒有金鑰也得不到口令。使用SSH轉發有一些條件限制，首先要求伺服器和客戶端都是主動模式，然後是伺服器必須允許命令通道之外的機器向其傳送PORT命令。

三、更改服務軟體的旗標
更改服務軟體的旗標能起到迷惑攻擊者的作用，至少能迷惑很多掃描器，造成掃描器的誤報，但更改旗標並不是解決安全問題的根本辦法，安全漏洞不會因為旗標不同而消失，不過更改總比不改要好一些。現在大多數的服務端軟體都可以在配置檔案裡更改該FTP的旗標。

四、加強協議安全性
這一點是服務軟體的提供商需要做的，一是對PORT命令進行檢查，PORT後的IP應和客戶主機是同一IP，我們對 FTP的攻擊很多都是通過構造特殊的PORT命令來實現的，所以PORT命令的使用對於攻擊者來說就顯得尤為重要了。做到這一點並不是很容易，Wu- ftpd就花了幾年的時間。目前針對資料劫持還沒什麼完美的防禦方法，目前能做的就是檢查命令通道和資料通道的IP地址是不是一致，但這也不能百分之百地 防止資料劫持的發生。因為客戶機和黑客可能處於同一內網。

後 記
網路已深入到社會生活的方方面面，網路安全也越來越顯得重要，FTP協議安全只是網路安全中一個很小的部分，網路安全還有 很多工作要做，這篇文章由於時間的關係寫得比較淺顯，沒有把FTP服務軟體的原始碼拿出來講(很多好的東西都是開源的),我想如果能把原始碼拿來對照原始碼講 FTP的傳輸過程，這樣我們會對FTP的傳輸過程有一個本質的瞭解，也更容易從中找到某些不為人知的安全隱患。