FTP Port模式和FTP Passive模式

原创

hpfplane 2006-09-17 08:21:00 博主文章分类：网络技术 ©著作权

©著作权归作者所有：来自51CTO博客作者hpfplane的原创作品，请联系作者获取转载授权，否则将追究法律责任

         FTP是我们常用到的一种下载方式。
         FTP Port模式和FTP Passive模式这两种行为迥异，在过去，客户端缺省为active(port)模式；近来，由于Port模式的安全问题，许多客户端的FTP应用缺省为Passive模式。

         FTP Port模式

         Port模式的FTP步骤如下：

1、客户端发送一个TCP SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口；

2、服务器端发送SYN ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；

3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答；

4、当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求，客户端软件使用PORT命令，这个命令包含了一个暂时的端口，客户端希望服务器在打开一个数据连接时候使用这个暂时端口；PORT命令也包含了一个IP地址，这个IP地址通常是客户自己的IP地址，而且FTP也支持第三方（third-party）模式，第三方模式是客户端告诉服务器端打开与另台主机的连接；

5、服务器端发送一个SYN包给客户端的暂时端口，源端口为20，暂时端口为客户端在PORT命令中发送给服务器端的暂时端口号；

6、客户端以源端口为暂时端口，目的端口为20发送一个SYN ACK包；

7、服务器端发送一个ACK包；

8、发送数据的主机以这个连接来发送数据，数据以TCP段(注：segment，第4层的PDU)形式发送（一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要对方进行ACK确认（注：因为TCP协议是一个面向连接的协议）

9、当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以ACK确认；

10、客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器同样也发送它的FIN，客户端用ACK来确认。

/====================================================================\
| |
| [ ftp Client ] [ ftp Server ] |
| |
| (TCP:21 连接初始化,控制端口) |
| SYN |
| Port xxxx ----------------------> Port 21 [TCP] |
| SYN+ACK |
| Port xxxx <---------------------- Port 21 |
| ACK |
| Port xxxx ----------------------> Port 21 |
| |
| (控制操作: 用户列目录或传输文件) |
| |
| Port, IP, Port yyyy |
| Port xxxx <---------------------- Port 21 |
| Port Seccussful |
| Port xxxx <---------------------- Port 21 |
| List, Retr or Stor |
| Port xxxx ----------------------> Port 21 |
| |
| |
| (TCP:20 连接初始化,数据端口) |
| SYN |
| Port yyyy <---------------------- Port 20 |
| SYN+ACK |
| Port yyyy ----------------------> Port 20 |
| ACK |
| Port yyyy <---------------------- Port 20 |
| |
| |
| (数据操作: 数据传输) |
| Data + ACK |
| Port yyyy <---------------------> Port 20 |
| . |
| . |
| . |
| |

\====================================================================/

        在PORT命令消息中的IP地址和端口号的编码不是直白地显示。PORT命令包含地址参数，地址参数隐含了端口号，如某一命令：PORT192,168,10,232,6,127；

6，127部分的第一个阿拉伯数字乘以256，然后加上第2个阿拉伯数字就得到端口号，为6*256+127=1663。

        当使用FTP时候，网络中的防火墙必须要声明相应的端口，防火墙必须要跟踪FTP对话然后检查PORT命令，防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程。

        如果网络中使用了NAT，那么NAT的网关同样也需要声明相应的端口，网关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址，然后重新计算TCP的Checksum ；如果网关没有正确地执行这个操作，FTP就失败了。

        黑客可能会利用FTP支持第三方特性这一特点，在Port模式下攻击。

          FTP Passive模式

          Passive模式的FTP的步骤，步骤1到3和Port模式FTP相同，步骤9到11同样与Port模式FTP最后三步相同。

1、客户端发送一个TCP SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口；

2、服务器端发送SYN ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；

3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答；

4、当用户请求一个列表(List)或者发送或接收文件时候，客户端软件发送PASV命令给服务器端表明客户端希望进入Passive模式；

5、服务器端进行应答，应答包括服务器的IP地址和一个暂时的端口，这个暂时的端口是客户端在打开数据传输连接时应该使用的端口；

6、客户端发送一个SYN包，源端口为客户端自己选择的一个暂时端口，目的端口为服务器在PASV应答命令中指定的暂时端口号；

7、服务器端发送SYN ACK包给客户端，目的端口为客户端自己选择的暂时端口，源端口为PASV应答中指定的暂时端口号；

8、客户端发送一个ACK包；

9、发送数据的主机以这个连接来发送数据，数据以TCP段(注：segment，第4层的PDU)形式发送（一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要对方进行ACK确认；

10、当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以ACK确认；

11、客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器同样也发送它的FIN，客户端用ACK来确认。

下图图示了Passive模式FTP的开始几个步骤：
/====================================================================\
| |
| [ ftp Client ] [ ftp Server ] |
| |
| (TCP:21 连接初始化,控制端口) |
| SYN |
| Port xxxx ----------------------> Port 21 [TCP] |
| SYN+ACK |
| Port xxxx <---------------------- Port 21 |
| ACK |
| Port xxxx ----------------------> Port 21 |
| |
| (PASV操作: 被动连接数据端口初始化) |
| |
| PASV |
| Port xxxx ----------------------> Port 21 |
| PASV OK, IP, Port yyyy |
| Port xxxx <---------------------- Port 21 |
| SYN |
| Port zzzz ----------------------> Port yyyy |
| SYN+ACK |
| Port zzzz <---------------------- Port yyyy |
| ACK |
| Port zzzz ----------------------> Port yyyy |
| |
| |
| (数据操作: 数据传输) |
| List, Retr or Stor |
| Port xxxx ----------------------> Port 21 |
| Data + ACK |
| Port zzzz <---------------------> Port yyyy |
| . |
| . |
| . |
| |
\====================================================================/
        一个PASV请求要求服务器在服务器选择的一个新的端口上接受数据连接，PASV命令没有任何参数，服务器端的回应只是一行显示服务器IP地址和服务器接受连接的TCP端口号。

        例如：PASV 192,168,0,1,100,20,245
        服务器告诉客户端它在端口5365（192,168,179,100,20,245）上进行监听，计算端口的方法是20*256+245=5365。

        当收到PASV命令的回应后，客户端打开一个TCP连接，源端口为一个暂时的端口，目的端口为服务器提供的暂时端口。

        大多数人认为在防火墙网络环境中Passive模式比Port模式的问题小，但在Passive模式下，客户端打开一个暂时的目的端口连接，一些防火墙或者CISCO设备的访问列表(ACL)可能会阻止这种连接，同样服务器的回应也是从一个暂时的端口到一个暂时的端口，防火墙或者CISCO的访问列表也会阻止这种连接。

        在CISCO路由器上你可以用访问列表关键字"established"来避免第二个问题，"established"关键字告诉路由器允许带ACK字端的包通过，服务器端的SYN ACK包带有ACK字端。

        很多情况下，我们使用Port模式还是Passive模式，并不是因为Port模式还是Passive模式在经过防火墙的时候会遇到什么问题，因为现在大多数状态检测防火墙，都可以在上文提到的各种环境下，支持ftp协议的状态检测，使FTP 会话顺利进行没有障碍。

        但是，因为对于服务器端来说，Passive模式的端口是随机的，不利于服务器端的ACL 的建立，所以，改为Port模式比较有利。