FTP协议的分析和扩展

>>1.0<< FTP和TCP端口号 
根据是使用Port模式还是Passive模式，FTP使用不同的TCP端口号，在详细描述FTP前，我们来 
简单讨论一下TCP端口号的一些基本概念。TCP使用端口号来标识所发送和接收的应用，端口号 
可以帮助TCP来分离字节流并且帮相应字节传递给正确的应用程序。 
TCP端口号可以是半永久的和暂时的。服务器端监听在半永久的端口上来让客户端访问。客户 
端使用暂时的端口在本地标识一个对话，客户端端口只在使用TCP服务时候才存在，而服务器 
端口只要服务器在运行就一直在监听。 

TCP端口可以归为3类： 
1、众所周知的端口来标识在TCP上运行的标准服务，包括FTP、HTTP、TELNET、SMTP等，这些 
端口号码范围为0-1023； 
2、注册端口号用来标识那些已经向IANA（Internet Assigned Numbers Assigned Numbers 
Authority）注册的应用，注册端口号为1024-49151； 
3、私有端口号是非注册的并且可以动态地分配给任何应用，私有端口为49152-65535； 
注册的端口号本来打算只给注册的应用使用，可近年来端口号已经陷入了到达极限的困境，你 
可能会看到本来应该是给注册应用使用的注册端口被非注册应用用做暂时的端口。RFC1700详 
细标注了众所周知的和注册的端口号，然而不幸的是，这个RFC文档自从1994年以来一直没有 
被更新，然后你仍可以从IANA得到一个及时更新的端口列表，详细URL为： 
http://www.iana.org/assignments/port-numbers 

>>2.0<< FTP Port模式和FTP Passive模式 
当你对一个FTP问题进行排错时候，你首先要问的一个问题是使用的是port模式的还是passive 
模式。因为这两种行为迥异，所以这两种模式引起的问题也不同；在过去，客户端缺省为acti 
ve(port)模式；近来，由于Port模式的安全问题，许多客户端的FTP应用缺省为Passive模式。 

>>2.1 FTP Port模式 
Port模式的FTP步骤如下： 
1、 客户端发送一个TCP SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端 
使用暂时的端口作为它的源端口； 
2、 服务器端发送SYN ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用 
的暂时端口； 
3、 客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个 
连接来发送FTP应答； 
4、 当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求，客户端软件使用 
PORT命令，这个命令包含了一个暂时的端口，客户端希望服务器在打开一个数据连接时候使用 
这个暂时端口；PORT命令也包含了一个IP地址，这个IP地址通常是客户自己的IP地址，而且FT 
P也支持第三方（third-party）模式，第三方模式是客户端告诉服务器端打开与另台主机的连接； 
5、 服务器端发送一个SYN包给客户端的暂时端口，源端口为20，暂时端口为客户端在PORT命令中 
发送给服务器端的暂时端口号； 
6、 客户端以源端口为暂时端口，目的端口为20发送一个SYN ACK包； 
7、 服务器端发送一个ACK包； 
8、 发送数据的主机以这个连接来发送数据，数据以TCP段(注：segment，第4层的PDU)形式发送（ 
一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要 
对方进行ACK确认（注：因为TCP协议是一个面向连接的协议） 
9、 当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一 
台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以A 
CK确认； 
10、 客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结 
束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器 
同样也发送它的FIN，客户端用ACK来确认。 

下图图示了FTP PORT模式前几步步骤： 
/====================================================================/ 
| | 
| [ ftp Client ] [ ftp Server ] | 
| | 
| (TCP:21 连接初始化,控制端口) | 
| SYN | 
| Port xxxx ----------------------> Port 21 [TCP] | 
| SYN+ACK | 
| Port xxxx <---------------------- Port 21 | 
| ACK | 
| Port xxxx ----------------------> Port 21 | 
| | 
| (控制操作: 用户列目录或传输文件) | 
| | 
| Port, IP, Port yyyy | 
| Port xxxx <---------------------- Port 21 | 
| Port Seccussful | 
| Port xxxx <---------------------- Port 21 | 
| List, Retr or Stor | 
| Port xxxx ----------------------> Port 21 | 
| | 
| | 
| (TCP:20 连接初始化,数据端口) | 
| SYN | 
| Port yyyy <---------------------- Port 20 | 
| SYN+ACK | 
| Port yyyy ----------------------> Port 20 | 
| ACK | 
| Port yyyy <---------------------- Port 20 | 
| | 
| | 
| (数据操作: 数据传输) | 
| Data + ACK | 
| Port yyyy <---------------------> Port 20 | 
| . | 
| . | 
| . | 
| | 
/====================================================================/ 

FTP Port模式会给网络管理人员在许多方面带来很多问题，首先，在PORT命令消息中的IP地址和端 
口号的编码不是直白地显示。另外，应用层的协议命令理论上不应该包含网络地址信息（注： 
IP地址），因为这打破了协议层的原则并且可能导致协同性和安全性方面的问题。 

下图是WildPackets EtherPeek协议分析仪解码了PORT命令的地址参数，地址参数后是端口号，见PORT 
192,168,10,232,6,127；6，127部分的第一个阿拉伯数字乘以256，然后加上第2个阿拉伯数字 
就得到端口号，所以客户端指定了端口号为6*256+127=1663； 
/====================================================================/ 
| IP Header - Internet Protocol Datagram | 
| Version: 4 | 
| Header Length: 5 (20 bytes) | 
| | 
| ............... | 
| | 
| Time To Live: 128 | 
| Protocol: 6 TCP - Transmission Control Protocol | 
| Header Checksum: 0xAA36 | 
| Source IP Address: 192.168.0.1 DEMO | 
| Dest. IP Address: 192.168.0.3 VI | 
| No IP Options | 
| | 
| TCP - Transport Control Protocol | 
| Source Port: 2342 manage-exec | 
| Destination Port: 21 ftp | 
| Sequence Number: 2435440100 | 
| Ack Number: 9822605 | 
| Offset: 5 (20 bytes) | 
| Reserved: %000000 | 
| Flags: %011000 | 
| 0. .... (No Urgent pointer) | 
| .1 .... Ack | 
| .. 1... Push | 
| .. .0.. (No Reset) | 
| .. ..0. (No SYN) | 
| .. ...0 (No FIN) | 
| | 
| Window: 65150 | 
| Checksum: 0x832A | 
| Urgent Pointer: 0 | 
| No TCP Options | 
| | 
| FTP Control - File Transfer Protocol | 
| Line 1: PORT 192,168,0,1,9,39<CR><LF> | 
| | 
| FCS - Frame Check Sequence | 
| FCS (Calculated): 0xF4C04A4F | 
/====================================================================/ 

下图验证了服务器端的确从端口20打开到端口1663的TCP连接： 
/====================================================================/ 
| TCP - Transport Control Protocol | 
| Source Port: 20 ftp-data | 
| Destination Port: 1663 | 
| Sequence Number: 2578824336 | 
| Ack Number: 0 | 
| Offset: 6 (24 bytes) | 
| Reserved: %000000 | 
| Flags: %000010 | 
| 0. .... (No Urgent pointer) | 
| .0 .... (No Ack) | 
| .. 0... (No Push) | 
| .. .0.. (No Reset) | 
| .. ..1. SYN | 
| .. ...0 (No FIN) | 
| | 
| Window: 3731 | 
| Checksum: 0x8A4C | 
| Urgent Pointer: 0 | 
| No TCP Options | 
| | 
| TCP Options | 
| Options Type: 2 Maxinum Segment Size | 
| Length: 4 | 
| MSS: 1460 | 
| | 
| FCS - Frame Check Sequence | 
| FCS (Calculated): 0x5A1BD023 | 
/====================================================================/ 

当使用FTP时候，网络中的防火墙必须要声明相应的端口，防火墙必须要跟踪FTP对话然后检查 
PORT命令，防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程。 
如果网络中使用了NAT（注：网络地址翻译），那么NAT的网关同样也需要声明相应的端口，网 
关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址，然后重新计算TCP的Checksum 
；如果网关没有正确地执行这个操作，FTP就失败了。 

黑客可能会利用FTP支持第三方特性这一特点，在PORT命令中设置IP地址和端口号参数来指定 
一台目标主机的地址和端口号（有时候称这种攻击为FTP反弹攻击），例如黑客可以让一台FTP 
服务器不断地从它的源端口20发送TCP SYN包给一系列目的端口，让FTP服务器看起来正在进行 
端口扫描，目的主机不知道攻击来自黑客的主机，看起来攻击象是来自FTP服务器。一些常用的 
FTP应用在PORT命令中设置地址为0.0.0.0，这样做的意图是让FTP服务器只需要与打开控制连接 
的相同客户进行数据连接，设置地址为0.0.0.0可能会让防火墙不知所措。例如，CISCO PIX IOS 
6.0以上版本的PIX（注：CISCO硬件防火墙设备，6.0以上版本为其修正了相关的FTP协议） 
要求数据连接的IP地址与已经存在的控制连接的IP地址必须相同。这样做的原因是防止黑客用 
PORT命令来攻击别的机器，虽然一些FTP应用设置IP地址为0.0.0.0不是有意图的攻击，但在PI 
X修正协议环境下的确引起了一些问题，同时对其他不允许第三方模式和避免FTP反弹攻击的防 
火墙来说，这也会引起相同的问题。 

>>2.2 FTP Passive模式 
下面的列表描述了Passive模式的FTP的步骤，步骤1到3和Port模式FTP相同，步骤9到11同样与 
Port模式FTP最后三步相同。 

1、客户端发送一个TCP SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使 
用暂时的端口作为它的源端口； 
2、服务器端发送SYN ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用 
的暂时端口； 
3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个 
连接来发送FTP应答； 
4、当用户请求一个列表(List)或者发送或接收文件时候，客户端软件发送PASV命令给服务器端