欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

FTP協(xié)議的分析和擴(kuò)展

  發(fā)布時(shí)間:2010-09-07 22:44:21   作者:佚名   我要評(píng)論
>>1.0<< FTP和TCP端口號(hào)  根據(jù)是使用Port模式還是Passive模式,F(xiàn)TP使用不同的TCP端口號(hào),在詳細(xì)描述FTP前,我們來  簡(jiǎn)單討論一下TCP端口號(hào)的一些基本概念。TCP使用端口號(hào)來標(biāo)識(shí)所發(fā)送和接收的應(yīng)用,端口
3 PORT: 1402 | 
| [R] LIST -al | 
| [R] Connected. Negotiating SSL/TLS session.. | 
| [R] 150 Opening ASCII data connection for ls / using SSL/TLS. | 
| [R] SSL/TLS negotiation successful... | 
| [R] TLSv1/SSLv3 encrypted session using cipher AES256-SHA (256 bits) | 
| [R] List Complete: 181 bytes in 0.17 seconds (1.04 KBps) | 
\======================================================================/ 

Explicit SSL模式下ftp client <-- server的通訊數(shù)據(jù),可以看到AUTH SSL之后的指令全部都 
已經(jīng)加密,無法看到。對(duì)應(yīng)2.3節(jié)中的傳統(tǒng)通訊過程,這確保了傳輸過程中數(shù)據(jù)無法被竊聽到。 
在Implicit SSL模式中,從初始化連接開始的數(shù)據(jù)將全部加密,無法分析,因此此處不摘錄。 
/======================================================================\ 
21:34:22.095241 IP 192.168.0.1.2279 > 192.168.0.3.999: S 1727744887:1727744887(0) win 65535 <mss 1460,nop,nop,sackOK> (DF) 
0x0000 4500 0030 e6b7 4000 8006 92bb c0a8 0001 E..0..@......... 
0x0010 c0a8 0003 08e7 03e7 66fb 4b77 0000 0000 ........f.Kw.... 
0x0020 7002 ffff 428a 0000 0204 05b4 0101 0402 p...B........... 
21:34:22.095576 IP 192.168.0.3.999 > 192.168.0.1.2279: S 3598555607:3598555607(0) ack 1727744888 win 65535 <mss 1460,nop,nop,sackOK> (DF) 
0x0000 4500 0030 8d9e 4000 8006 ebd4 c0a8 0003 E..0..@......... 
0x0010 c0a8 0001 03e7 08e7 d67d 99d7 66fb 4b78 .........}..f.Kx 
0x0020 7012 ffff d223 0000 0204 05b4 0101 0402 p....#.......... 
21:34:22.095639 IP 192.168.0.1.2279 > 192.168.0.3.999: . ack 1 win 65535 (DF) 
0x0000 4500 0028 e6b8 4000 8006 92c2 c0a8 0001 E..(..@......... 
0x0010 c0a8 0003 08e7 03e7 66fb 4b78 d67d 99d8 ........f.Kx.}.. 
0x0020 5010 ffff fee7 0000 P....... 
21:34:22.108439 IP 192.168.0.3.999 > 192.168.0.1.2279: P 1:115(114) ack 1 win 65535 (DF) 
0x0000 4500 009a 8da4 4000 8006 eb64 c0a8 0003 E.....@....d.... 
0x0010 c0a8 0001 03e7 08e7 d67d 99d8 66fb 4b78 .........}..f.Kx 
0x0020 5018 ffff 5cb5 0000 3232 302d 5468 6973 P...\...220-This 
0x0030 2073 6572 7665 7220 6973 2066 6f72 2070 .server.is.for.p 
0x0040 7269 7661 7465 2075 7365 206f 6e6c 790d rivate.use.only. 
0x0050 0a32 .2 
21:34:22.257722 IP 192.168.0.1.2279 > 192.168.0.3.999: . ack 115 win 65421 (DF) 
0x0000 4500 0028 e6c1 4000 8006 92b9 c0a8 0001 E..(..@......... 
0x0010 c0a8 0003 08e7 03e7 66fb 4b78 d67d 9a4a ........f.Kx.}.J 
0x0020 5010 ff8d fee7 0000 P....... 
21:34:22.257941 IP 192.168.0.3.999 > 192.168.0.1.2279: P 115:154(39) ack 1 win 65535 (DF) 
0x0000 4500 004f 8da7 4000 8006 ebac c0a8 0003 E..O..@......... 
0x0010 c0a8 0001 03e7 08e7 d67d 9a4a 66fb 4b78 .........}.Jf.Kx 
0x0020 5018 ffff 96b3 0000 3232 3020 506c 6561 P.......220.Plea 
0x0030 7365 2065 6e74 6572 2079 6f75 7220 6c6f se.enter.your.lo 
0x0040 6769 6e20 6e61 6d65 206e 6f77 2e0d 0a gin.name.now... 
21:34:22.264587 IP 192.168.0.1.2279 > 192.168.0.3.999: P 1:11(10) ack 154 win 65382 (DF) 
0x0000 4500 0032 e6c2 4000 8006 92ae c0a8 0001 E..2..@......... 
0x0010 c0a8 0003 08e7 03e7 66fb 4b78 d67d 9a71 ........f.Kx.}.q 
0x0020 5018 ff66 e88e 0000 4155 5448 2053 534c P..f....AUTH.SSL 
0x0030 0d0a .. 
21:34:22.371140 IP 192.168.0.3.999 > 192.168.0.1.2279: P 154:205(51) ack 11 win 65525 (DF) 
0x0000 4500 005b 8dac 4000 8006 eb9b c0a8 0003 E..[..@......... 
0x0010 c0a8 0001 03e7 08e7 d67d 9a71 66fb 4b82 .........}.qf.K. 
0x0020 5018 fff5 9a03 0000 3233 3420 4155 5448 P.......234.AUTH 
0x0030 2043 6f6d 6d61 6e64 204f 4b2e 2049 6e69 .Command.OK..Ini 
0x0040 7469 616c 697a 696e 6720 5353 4c20 636f tializing.SSL.co 
0x0050 6e6e nn 
21:34:22.374945 IP 192.168.0.1.2279 > 192.168.0.3.999: P 11:141(130) ack 205 win 65331 (DF) 
0x0000 4500 00aa e6c6 4000 8006 9232 c0a8 0001 E.....@....2.... 
0x0010 c0a8 0003 08e7 03e7 66fb 4b82 d67d 9aa4 ........f.K..}.. 
0x0020 5018 ff33 f99a 0000 8080 0103 0100 5700 P..3..........W. 
0x0030 0000 2000 0016 0000 1300 000a 0700 c000 ................ 
0x0040 0066 0000 0700 0005 0000 0405 0080 0300 .f.............. 
0x0050 8001 .. 
21:34:22.375857 IP 192.168.0.3.999 > 192.168.0.1.2279: P 205:1071(866) ack 141 win 65395 (DF) 
0x0000 4500 038a 8dad 4000 8006 e86b c0a8 0003 E.....@....k.... 
0x0010 c0a8 0001 03e7 08e7 d67d 9aa4 66fb 4c04 .........}..f.L. 
0x0020 5018 ff73 e356 0000 1603 0100 4a02 0000 P..s.V......J... 
0x0030 4603 0140 8283 7da1 8821 775e 7765 a9ee F..@..}..!w^we.. 
0x0040 18ca e0ab 1b17 461e bf71 515f 6837 5c1a ......F..qQ_h7\. 
\======================================================================/ 


>>4.0<< 總結(jié) 
FTP的替代應(yīng)用 
如今,如果考慮到其他一些安全的文件傳輸選擇,可能看起來沒有理由再使用FTP了,如SCP或 
者SFTP,與FTP應(yīng)用相似但運(yùn)用SSH(注:Secure 
Shell)來進(jìn)行驗(yàn)證和加密,如果你使用一臺(tái)基于UNIX的服務(wù)器,你可以在命令方式下調(diào)用SCP 
或者SFTP,如果你想獲得更多的關(guān)于SSH的信息,參考如下URLhttp://www.openssh.com 
如果你只是用FTP來更新你的Web頁面,有別的替代應(yīng)用,稱為WebDAV的新的協(xié)議,WebDAV 
是HTTP的擴(kuò)展,它允許多個(gè)用戶共同編輯和維護(hù)遠(yuǎn)程WEB服務(wù)器上的文件,如果想了解WebDAV 
的詳細(xì)信息,參考http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2518.html 

FTP是在70年代設(shè)計(jì)出來的,那個(gè)時(shí)候互聯(lián)網(wǎng)還是一個(gè)封閉的網(wǎng)絡(luò),網(wǎng)絡(luò)安全不是一個(gè)大的問 
題。當(dāng)FTP在使用NAT網(wǎng)關(guān)、防火墻、CISCO訪問列表的現(xiàn)代網(wǎng)絡(luò)環(huán)境中運(yùn)用的時(shí)候,不管你使 
用Port模式還是Passive模式,都可能產(chǎn)生一些問題,F(xiàn)TP在公網(wǎng)上作為一些關(guān)鍵應(yīng)用的文件傳 
輸手段可能就是一個(gè)錯(cuò)誤;當(dāng)然近年很多人為了是FTP協(xié)議更加安全進(jìn)行了不懈的努力,這些 
努力卻使對(duì)于FTP的排錯(cuò)更加復(fù)雜,而且都沒有解決FTP最大的問題,即明文傳輸用戶名和口令 
。有許多應(yīng)用可以替代FTP,如SCP,SFTP或者WebDAV。 

以上為原文總結(jié),本文下半部分補(bǔ)充了ftp自身的安全擴(kuò)展,使用SSL/TLS進(jìn)行ftp傳輸過程的 
驗(yàn)證和加密,良好的實(shí)現(xiàn)了與傳統(tǒng)ftp協(xié)議的兼容性和優(yōu)良的數(shù)據(jù)保密性與完整性。在無法使用 
替代服務(wù)的環(huán)境下,是一種非常好的ftp服務(wù)改進(jìn)計(jì)劃。 

略有不足的是,由于歷史兼容性因素,很多ftp client和server對(duì)ssl ftp擴(kuò)展的實(shí)現(xiàn)都存在 
著各種缺陷,例如加密算法不足,指令順序有錯(cuò)誤等等,這可能會(huì)引起一些安全保護(hù)級(jí)別的削弱。 
1, 由于沒有良好的PKI體系支撐,很多ftp server的證書合法性無法得到驗(yàn)證,可能存在無法 
信任或被偽造的可能; 
2, 由于Explicit SSL模式的歷史兼容問題,AUTH指令和USER/PASS指令序列的優(yōu)先級(jí)沒有明確 
約定,可能存在指令序列錯(cuò)誤造成信息泄露的問題; 
3, 由于SSL自身體系的一些問題,可能受到證書泄露,偽造,或SSL中間人攻擊; 
4, 在不完整的CA或PKI體系下,只能夠采用自簽名證書,這時(shí)SSL ftp得到的安全性提高僅僅 
是通訊過程加密,并無法完成身份認(rèn)證的功能。 

當(dāng)然,排除無法實(shí)現(xiàn)身份認(rèn)證功能和略微的實(shí)現(xiàn)缺陷,ssl ftp仍然是一種優(yōu)秀的ftp服務(wù)安全加強(qiáng) 
措施。 


>>5.0<< 參考 

ftp協(xié)議簇 
http://www.ietf.org/rfc/rfc959.txt 
http://www.ietf.org/rfc/rfc1579.txt 

ftp安全擴(kuò)展 
http://www.ietf.org/rfc/rfc2228.txt 
http://www.ietf.org/rfc/rfc2246.txt 

ftp安全擴(kuò)展,SSL接口草案: 
http://www.ietf.org/internet-drafts/draft-murray-auth-ftp-ssl-13.txt 

ssl/tls協(xié)議規(guī)范: 

相關(guān)文章

最新評(píng)論