|
簡介 FTP協(xié)議要用到兩個TCP連接����, 一個是命令連接,用來在FTP客戶端與服務(wù)器之間傳遞命令����; 另一個是數(shù)據(jù)連接,用來上傳或下載數(shù)據(jù)�。 無論是主動模式還是被動模式,其要進(jìn)行文件傳輸都必須依次建立兩個連接����,分別為命令連接與數(shù)據(jù)連接。而主動模式與被動模式的差異主要體現(xiàn)在數(shù)據(jù)連結(jié)通道上 命令連接 當(dāng)FTP客戶端需要登陸到FTP服務(wù)器上的時候�����,服務(wù)器與客戶端需要進(jìn)行一系列的身份驗證過程����,這個過程就叫做命令連接 當(dāng)FTP客戶端需要登陸到FTP服務(wù)器上的時候,服務(wù)器與客戶端需要進(jìn)行一系列的身份驗證過程��,這個過程就叫做命令連接�。如在客戶端向服務(wù)器發(fā)起連接請 求的時候,客戶端會隨即的選擇某個TCP端口來跟FTP服務(wù)器的21號端口進(jìn)行連接���,這主要是通過TCP三方握手來實現(xiàn)的��。當(dāng)三方握手完成之后��,客戶端與 服務(wù)器之間便建立了命令連接通道��。不過這個通道的用途是非常有限的��,其主要用來傳輸FTP的相關(guān)指令����。如查看文件列表、刪除文件等等����,而不能夠用來在客戶 端與服務(wù)端進(jìn)行文件傳輸。為此這個通道就被稱之為命令通道���。到客戶端與服務(wù)器建立了連接之后��,可能客戶端暫時不需要進(jìn)行數(shù)據(jù)傳輸����。如只是需要查看目錄下的文件或則其他相關(guān)的動作�。此時之需要命令連接通道就可以完 成了��。 數(shù)據(jù)連接 如果此時客戶端需要往FTP服務(wù)器上上傳或者下載文件的話,就需要在客戶端與服務(wù)器端再建立一條額外的數(shù)據(jù)傳輸連接����。 主動模式  主動模式的FTP是指服務(wù)器主動連接客戶端的數(shù)據(jù)端口 Standard、Active 主動模式是指服務(wù)器主動連接客戶端的數(shù)據(jù)端口 在主動模式下��,F(xiàn)TP客戶端隨機(jī)開啟一個大于1024的端口N向服務(wù)器的21號端口發(fā)起連接��,然后開放N+1號端口進(jìn)行監(jiān)聽��,并向服務(wù)器發(fā)出PORT N+1命令��。服務(wù)器接收到命令后����,會用其本地的FTP數(shù)據(jù)端口(通常是20)來連接客戶端指定的端口N+1,進(jìn)行數(shù)據(jù)傳輸����。 PORT(主動)這個方式需要在接上TCP 21端口后,服務(wù)器通過自己的TCP 20來發(fā)出數(shù)據(jù)�����。并且需要建立一個新的連接來傳送檔案。而PORT的命令包含一些客戶端沒用的資料���,所以有了PASv的出現(xiàn)�����。 當(dāng)客戶端發(fā)出數(shù)據(jù)傳輸?shù)闹噶钪?如上傳數(shù)據(jù)或者下載文件)�,客戶端會啟用另外一個端口監(jiān)聽等待連接�,并利用先前建立的命令連接通道告訴FTP服務(wù)器其監(jiān) 聽的端口號。然后FTP服務(wù)器會利用端口20和剛才的FTP客戶端所告知的端口再次進(jìn)行三方握手��。三次握手成功后便建立了一條數(shù)據(jù)傳輸通道����。注意此時數(shù)據(jù) 連結(jié)通道建立的過程中,是FTP服務(wù)器的20號端口主動連接FTP客戶端的�,為此這種連接方式就叫做主動模式。 在主動操作模式下��,F(xiàn)TP服務(wù)器的20號端口是主動同客戶端聯(lián)系����,建立數(shù)據(jù)傳輸通道的 PASV運行方式就是當(dāng)服務(wù)器接收到客戶端連接請求時,就會自動從端口1024到5000中隨機(jī)選擇一個和客戶端建立連接傳遞數(shù)據(jù)�����。由于被動且自動建立連接�����,容易受到攻擊,所以安全性差��。 工作過程: 客戶端以隨機(jī)非特權(quán)端口N�,就是大于1024的端口����,對server端21端口發(fā)起連接 客戶端開始監(jiān)聽 N+1端口����; 服務(wù)端會主動以20端口連接到客戶端的N+1端口��。 優(yōu)點: 服務(wù)端配置簡單��,利于服務(wù)器安全管理���,服務(wù)器只需要開放21端口 缺點: 如果客戶端開啟了防火墻��,或客戶端處于內(nèi)網(wǎng)(NAT網(wǎng)關(guān)之后)���, 那么服務(wù)器對客戶端端口發(fā)起的連接可能會失敗 被動模式  被動模式的FTP是指服務(wù)器被動地等待客戶端連接自己的數(shù)據(jù)端口�����。 在被動操作模式下����,則FTP服務(wù)器是被動的等待��,等待 客戶段與其的20號端口建立連接 被動模式是指服務(wù)器被動地等待客戶端連接自己的數(shù)據(jù)端口 在被動模式下,F(xiàn)TP庫戶端隨機(jī)開啟一個大于1024的端口N向服務(wù)器的21號端口發(fā)起連接����,同時會開啟N+1號端口����。然后向服務(wù)器發(fā)送PASV命令,通知服務(wù)器自己處于被動模式��。服務(wù)器收到命令后,會開放一個大于1024的端口P進(jìn)行監(jiān)聽��,然后用PORTP命令通知客戶端,自己的數(shù)據(jù)端口是P��?�?蛻舳耸盏矫詈螅瑫ㄟ^N+1號端口連接服務(wù)器的端口P�,然后在兩個端口之間進(jìn)行數(shù)據(jù)傳輸��。 (在vsftpd.conf中指定被動端口范圍為4000-4500) 被動模式通常用在處于防火墻之后的FTP客戶訪問外界FTp服務(wù)器的情況����,因為在這種情況下���,防火墻通常配置為不允許外界訪問防火墻之后主機(jī)���,而只允許由防火墻之后的主機(jī)發(fā)起的連接請求通過����。因此��,在這種情況下不能使用主動模式的FTP傳輸��,而被動模式的FTP可以良好的工作����。 PASV運行方式就是當(dāng)服務(wù)器接收到客戶端連接請求時�����,就會自動從端口1024到5000中隨機(jī)選擇一個和客戶端建立連接傳遞數(shù)據(jù)�。由于被動且自動建立連接��,容易受到攻擊���,所以安全性差�。 被動模式的FTP通常用在處于防火墻之后的FTP客戶訪問外界FTp服務(wù)器的情況,因為在這種情況下��,防火墻通常配置為不允許外界訪問防火墻之后主機(jī),而只允許由防火墻之后的主機(jī)發(fā)起的連接請求通過��。因此,在這種情況下不能使用主動模式的FTP傳輸,而被動模式的FTP可以良好的工作����。 被動操作模式在建立命令連接通道的時候�,跟主動操作模式是相同的����。 用戶需要進(jìn)行數(shù)據(jù)傳輸?shù)臅r候, 則FTP客戶端會通過命令通道告訴FTP服務(wù)器�,如會向服務(wù)器發(fā)出一個PASV指令。 服務(wù)期會選擇自身的一個端口來進(jìn)行監(jiān)聽連接(而在主動操作模式下是利用客戶端的一個端口來進(jìn)行監(jiān)聽連接)��,并再次利用命令連接通道告訴客戶端“我為 你開啟了哪個端口,你要建立數(shù)據(jù)連接的話就跟我的哪個端口聯(lián)系” 客戶端在接到這個信息后��,就會在自己操作系統(tǒng)上選擇一個數(shù)據(jù)連接的通信端口�����,與服務(wù)器提供的端口進(jìn)行三方握手��,并最終建立起可以進(jìn)行數(shù)據(jù)傳輸?shù)耐ǖ馈?/p> 工作過程: 客戶端以隨機(jī)非特權(quán)端口連接服務(wù)端的21端口 服務(wù)端開啟一個非特權(quán)端口為被動端口�,并返回給客戶端 客戶端以非特權(quán)端口+1的端口主動連接服務(wù)端的被動端口 缺點: 服務(wù)器配置管理稍顯復(fù)雜�����,不利于安全����,服務(wù)器需要開放隨機(jī)高位端口以便客戶端可以連接�,因此大多數(shù)FTP服務(wù)軟件都可以手動配置被動端口的范圍 優(yōu)點: 對客戶端網(wǎng)絡(luò)環(huán)境沒有要求 選擇策略 在數(shù)據(jù)通道建立的過程中,客戶端會在另一個端口上監(jiān)聽等待連接����,并利用命令連接通道告訴服務(wù)器其監(jiān)聽的端口號���。然后企業(yè)的邊界路由器會將FTP的IP地址轉(zhuǎn)換為合法的公網(wǎng)IP地址(假設(shè)企業(yè)由于公網(wǎng)IP地址有限����,在邊界路由 器上通過NAT服務(wù)向外部用戶提供FTP連接)。 采用的是主動操作模式的話��,則在連接這個數(shù)據(jù)通道的過程中FTP服務(wù)器會主動跟邊界路由器的端口 進(jìn)行通信(因為FTP服務(wù)器認(rèn)為這臺邊界路由器��,其實就是NAT服務(wù)器,就是FTP客戶段)����。 但是實際上不是,而且也有可能沒有啟用這個端口�。為此客戶端 與FTP服務(wù)器之間的連接最終沒有建立起來。 所以說����,如果采用主動操作模式的話,當(dāng)FTP服務(wù)器部署在NAT等服務(wù)器后面的時候��,則FTP服務(wù)器與客戶端 之間只能夠建立命令連接通道�����,而無法建立起數(shù)據(jù)傳輸通道����。 如果FTP服務(wù)器與客戶端之間還有防火墻的話,在連接的過程中也會出現(xiàn)以上類似的情況����。 被動操作模式的話,是客戶端主動跟服務(wù)期的20號端口進(jìn)行連接的����。為此在數(shù)據(jù)傳輸通道建立的過程中���,即使中間有NAT服務(wù)器或者防火墻,也 會準(zhǔn)確無誤的連接到FTP服務(wù)器的數(shù)據(jù)傳輸接口����。 所以說����,如果在客戶端與FTP服務(wù)器之間存在防火墻或者NAT服務(wù)器等類似設(shè)備的話����,那么在FTP服務(wù)器 部署的時候����,最好采用被動操作模式。否則的話�,很可能只能夠建立命令連接通道,而無法進(jìn)行數(shù)據(jù)傳輸���。 在 如果一些出差在外的員工或者員工在家庭辦公時也需要訪問企業(yè)內(nèi)部的FTP服務(wù)器,而此時出于安全的考慮或者公網(wǎng)IP 地址數(shù)量的限制����,企業(yè)往往會把FTP服務(wù)器部署在防火墻或者NAT服務(wù)器的后面���,此時這個主動操作模式就不行了��。 如果企業(yè)中通過互聯(lián)網(wǎng)來訪問企業(yè)內(nèi)部FTP服務(wù)器的員工比較多的時候����,那么最好能夠一勞永逸的解決這個問題���,即在FTP服務(wù)器上進(jìn)行設(shè)置���,強(qiáng)制客戶端在連接的時候采用被動操作模式����。 用戶比較少的話���,而且用戶又具有一定的計算機(jī)知識,那么可以不在服務(wù)器上進(jìn)行設(shè)置����。而是在連接的過程中,通過FTP客戶端來設(shè)置。如在某些FTP客戶端 上��,會有一個Passive Transfers等類似的選項����。選中這個選項就表示以被動操作方式進(jìn)行傳輸。而沒有選中這個選項的客戶端則仍然采用主動操作模式來進(jìn)行連接�����。 如果把FTP服務(wù)器部署在防火墻或者NAT服務(wù)器的背后��,則采用主動操作模式的客戶端只能夠建立命令連接而無法進(jìn)行文件傳輸����。如果部署完FTP服務(wù)器后���,系統(tǒng)管理員發(fā)現(xiàn)用戶可以連接上FTP服務(wù)器��,可以查看 目錄下的文件����,但是卻無法下載或者上傳文件���,如果排除權(quán)限方面的限制外��,那么很有可能就是這個操作模式選擇錯誤 常見客戶端設(shè)置 FTP服務(wù)器部署的時候��,其默認(rèn)采用的是主動操作模式。如果企業(yè)FTP服務(wù)器的用戶都是在內(nèi)部網(wǎng)絡(luò)中的,即不用像外部網(wǎng)絡(luò)的用戶提供FTP連接的需求,那 么采用這個默認(rèn)操作方式就可以了。 大部分FTP客戶端默認(rèn)使用PASV方式。IE默認(rèn)使用PORT方式���。在大部分FTP客戶端的設(shè)置里,常見到的字眼都是“PASV”或“被動模式”����,極少見到“PORT”或“主動模式”等字眼�。因為FTP的登錄方式只有兩種:PORT和PASV,取消PASV方式�,就意味著使用PORT方式��。(1)IE:工具 -> Internet選項 -> 高級 -> “使用被動FTP”(需要IE6.0以上才支持)����。
(2)CuteFTP:Edit -> Setting -> Connection -> Firewall -> “PASV Mode” 或File -> Site Manager��,在左邊選中站點 -> Edit -> “Use PASV mode” 。
(3)FlashGet:工具 -> 選項 -> 代理服務(wù)器 -> 直接連接 -> 編輯 -> “PASV模式”�。
(4)FlashFXP:選項 -> 參數(shù)選擇 -> 代理/防火墻/標(biāo)識 -> “使用被動模式” 或站點管理 -> 對應(yīng)站點 -> 選項 -> “使用被動模式”或快速連接 -> 切換 -> “使用被動模式”。1234567 參考站點: http://www.cnblogs.com/swyft/p/5641720.html http://www.cnblogs.com/ShaYeBlog/p/5897303.html http://www.cnblogs.com/huangxm/p/6274645.html
|
