『壹』 無法連接FTP伺服器,請檢查網路...什麼意思...
意思是你與該站點連接不上,或你的網路有問題或該站點在維護,不容許訪問等,總之是你與ftp不能ping通!
『貳』 FTP服務的優缺點
FTP什麼都簡單,裝一個好的FTP Server就萬事大吉了;
web的話就得慢慢編了;而且大文件的處理很有問題。
『叄』 ftp伺服器具有哪些功能
FTP(File Transfer Protocol),是文件傳輸協議的簡稱。用於Internet上的控制文件的雙向傳輸。同時,它也是一個應用程序(Application)。用戶可以通過它把自己的PC機與世界各地所有運行FTP協議的伺服器相連,訪問伺服器上的大量程序和信息。
FTP的主要功能:
FTP(File Transfer Protocol),是文件傳輸協議的簡稱。用於Internet上的控制文件的雙向傳輸。同時,它也是一個應用程序(Application)。用戶可以通過它把自己的PC機與世界各地所有運行FTP協議的伺服器相連,訪問伺服器上的大量程序和信息。
(1)把本地計算機上的一個或多個文件傳送到遠程計算機,或從遠程計算機上獲取一個或多個文件。所謂傳送文件並不是移動,而是復制,即拷貝。FTP傳送的是文件的副本,在完成文件傳送文件傳輸之後,被傳輸的文件並不從源端消失,而是仍然在計算機的磁碟上存在;
(2)能夠傳輸多種類型、多種結構、多種格式的文件,允許用戶選擇文本文件(ASCII)、二進制文件(Binary)兩種文件類型,和文件(File)、紀錄(RECORD)、頁(Page)3種文件結構,還可以選擇文件的格式以及文件傳輸的模式等。用戶可以根據FTP會話雙方所用的系統及要傳輸的文件,確定在文件傳輸時選擇哪一種文件類型和結構;
(3)提供對本地計算機和遠程計算機的目錄操作功能。可在本地計算機或遠程計算機上建立或刪除目錄,改變當前工作目錄,列印目錄和文件的列表等;
(4)對文件進行改名、刪除、顯示文件內容等;
(5)用戶使用FTP能夠訪問匿名FTP伺服器,從中獲取大量的免費或共享軟體。
『肆』 如何提高FTP伺服器安全性
一、禁止系統級別用戶來登錄FTP伺服器。
為了提高FTP伺服器的安全,系統管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP伺服器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後,我們可以利用vi命令來查看這個配置文件,發現其已經有了許多默認的帳戶。其中,系統的超級用戶root也在其中。可見出於安全的考慮,VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器,則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器,會對其安全造成負面的影響,為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設置。
如果出於其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見,把資料庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶,而FTP系統管理員為了便於管理,仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權,為了提高伺服器的安全性,必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別,來做好相關的配置工作。需要說明的是,匿名用戶的許可權控制的越嚴格,FTP伺服器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用戶的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了伺服器的安全與用戶的使用便利。
一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全,而且也有利於其他員工操作的便利性上。
二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下,應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話,可以把這個參數設置為YES,即允許操作系統調用FTP命令往FTP伺服器上備份文件。
『伍』 求助會搭建FTP伺服器的高手,請詳細幫忙解答,高分追加
首先感謝你分享資源的精神,無論最後的結果如何都感謝你。
關於這個問題有的朋友已經回答了,重點已經不在於技術上的高手,我想從另一個角度提一些建議。
1、很顯然,你是需要下載的人先看到都有什麼,再申請,再下在。你的資源存儲在FTP里,但FTP只是存儲位置,資源內容發布在哪裡呢?
2、根據你的情況,建立FTP伺服器幾乎可選的方案不多,無論是買空間還是租伺服器都會花費很多錢,還不如看誰要刻張光碟寄過去省心省錢呢。
所以,綜上,我建議你可以在115網盤,金山網盤之類的地方買個空間,也沒必要全上傳,誰要什麼就上傳什麼,然後共享給他就行了。一是省心,二是買空間的錢會遠遠低於建站的花費。
羅嗦很多,希望有用。
『陸』 假如我們的伺服器提供了Ftp服務,為了降低被黑客攻擊的風險,我們可以實施以下措施
想知道網站是否被黑客攻擊,有一個比較簡單的方法,直接檢查每個腳本文件最下方是否被加入了iframe或者script的代碼,然後這段代碼是否是程序員設計的時候添加的,程序員一看就能夠知道。
防範的方式也簡單:
1、程序代碼漏洞,這需要有安全意識的程序員才能修復得了,通常是在出現被掛馬以後才知道要針對哪方面入手修復;
2、也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
3.伺服器目錄許可權的「讀」、「寫」、「執行」,「是否允許腳本」,等等,使用經營已久的虛擬空間提供商的空間,可以有效降低被掛馬的幾率。
『柒』 FTP服務的優缺點
FTP什麼都簡單,裝一個好的FTP
Server就萬事大吉了;
web的話就得慢慢編了;而且大文件的處理很有問題。
『捌』 怎樣用自己的電腦搭建ftp伺服器
在所有的FTP伺服器端軟體中,Serv-U除了擁有其他同類軟體所具備的大部分功能外,還支持帶寬限制、遠程管理、遠程列印以及擴展成為虛擬主機FTP伺服器等。在設置過程中加上良好的安全機制、友好的管理界面及穩定的性能,使它被非常廣泛地使用著。本文將從Serv-U的安裝設置和花生殼動態域名解析服務入手,向你介紹這種最節省成本的辦法,用不著租用固定IP地址或託管主機,在家裡也能搭建屬於自己的FTP伺服器和朋友一起共享精彩資源 !
一、搭建前的准備
1、 Serv-U + 花生殼動態域名解析軟體只佔用很少的系統資源,在伺服器硬體配置方面沒有太特殊的要求,如果是Windows 2003 Server系列的系統,要獲得略微具有效率的系統性能一般建議CPU在Pentium4 1.8G、內存512M、系統匯流排傳輸速度在133以上。如果所搭建的FTP伺服器長期大量地為互聯網提供上傳下載服務的話,建議具備條件的用戶安裝SCSI硬碟作為主機儲存體。當然,SCSI設備比起IDE設備價格可能相差幾個翻,若想獲得高性能而不想投資太多,可以考慮選擇SCSI硬碟作為系統、常用數據的磁碟,將大量的數據存放在IDE硬碟上,這種方法雖然沒有使系統完全地使用SCSI組件的資源,但也不至於在超過20個用戶在你使用IDE硬碟的FTP伺服器上同時上傳下載時把伺服器拖得象驢子一樣。
2、 建議安裝Server系列系統,例如Windows XP Professional、Windows2000 Server(包括Advanced Server版本)、Windows 2003 Server Enterprise Edition(包括Standard版本)等NT核心的系統,其對伺服器軟體的運作以及長期運作穩定性表現得更佳。
對於Windows 98、Windows Me 系統,因花生殼2.1以上版本已經不再對非NT核心的系統作支持,但我們也可以下載個花生殼1.0 + Serv-U安裝湊合體現一下做FTP伺服器的樂趣,其總體性能以及穩定性就得自我體現其滋味了。
3、 網路部分是互聯網和FTP伺服器通訊的鏈路,許多人把系統、花生殼、SERV-U安裝起來,別人就是訪問不了,導致不能互聯網和FTP伺服器連接失敗的大部分原因會在這一部分出現:
A. 伺服器網路接入線路環境
現時互聯網使用IPV4 IP協議,在互聯網上協議的傳輸時通過ISP之間的一級一級路由把數據傳輸到8*4位的二進制網路地址,網路地址被轉換成為10進制或16進制的地址後,應用在不同的網路結構層上,相對於互聯網來說IP地址是唯一的,由當地的ISP掌控當地的IP地址分配到用戶,我們把ISP所分配的互聯網IP地址成為公網IP地址,例如是已經轉換為10進制的公網IP 219.136.254.1。當然,如果伺服器通過路由器、代理伺服器上網,這時你的主機可能不擁有公網的IP地址,而所獲得的是路由器或代理伺服器所分配的內網IP地址,如192.168.0.1、172.19.0.1等都是互聯網不承認的地址,這類的地址被定義為專屬內網使用的IP。
如果你的伺服器不擁有公網IP地址,請先參考Oray的內網建站部分的文檔通過埠映射的方法解決。如果問題在這一步卡住,那麼所做的FTP伺服器不能向互聯網提供服務,僅有可能向同一個區域網內的機器提供服務,下面的內容也不用看下去了。
B. 防火牆安全策略對伺服器數據傳輸的阻礙
軟體防火牆攔截了互聯網訪問FTP服務通訊。在我們的歷來支持過程中,發現大部分服務已經搭建成功的用戶不能被訪問,往往問題就出現在軟體防火牆上。例如是Windows XP、Windows Server 2003等網路模塊自帶的網路防火牆默認規則是攔截互聯網訪問伺服器任何的埠,或安裝了例如天網、Norton等軟體防火牆。這時你需要在軟體防火牆上開通方向為IN、數據傳輸類型為FTP(21埠)的通訊策略。當然如果你覺得伺服器的安全性比較高可以把它們禁用掉,這樣可以節省部分的系統資源。
有條件的用戶一般都會為網路增添硬體網路防火牆,單獨的防火牆模塊可為公司網路減少網路安全風險,而一般防火牆在沒有設置規則時是禁止任何外網連接到防火牆內部的計算機,所以也應通知網路管理員當為其添加服務訪問規則。
二、為當前FTP伺服器部署動態域名解析
1.下載花生殼動態域名解析軟體並安裝。
2.運行花生殼軟體,點擊「注冊Oray護照」,根據彈出注冊護照窗口提示進行注冊。注冊Oray護照完成後,使用所注冊的護照名稱和密碼填入花生殼軟體中進行登陸。3.申請一個免費域名作為互聯網訪問FTP服務的『網址』4.根據提示激活上一步所申請的免費域名花生殼動態DNS服務
這時候,花生殼軟體已經在線了,我們所申請的免費域名已經綁定到當前的公網IP地址,互聯網可通過所申請的域名直接訪問到當前的公網IP了。
三、安裝以及設置Serv-U FTP伺服器
通過Serv-U的官方網站下載最新版本的Serv-U伺服器軟體,其下載地址是 http://www.serv-u.com/dn.asp。官方下載的版本可免費使用30天。在本文檔中使用Serv-U 6.1.0.5版本進行安裝設置,將來更新版安裝調試過程也是大同小異,如果對英文』敏感』的朋友可在國內一些軟體站下載漢化補丁。
1.首先我們按照Serv-U安裝包的提示將其安裝到系統中2.安裝完成後,Serv-U自動打開了第一次運行的向導,向導挺煩人的,我們把向導取消了,下面的手工一步步來設置3.雙擊打開Serv-U伺服器軟體,我們首先把Start automatically (system service)啟用,讓其日後啟動伺服器時自動在後台運作。並選擇Start Server把FTP服務啟用。4.一個空空如也的FTP伺服器算是搭建完成了。接著展開Serv-U管理界面中的<>菜單。新建一個域。建立域步驟一提示選擇服務IP地址。我們使用花生殼作為動態域名解析軟體,但花生殼並不會把我們的IP地址固定起來,所以這里需要選擇任意IP。建立域步驟二,為新建的域設置一個名稱,這里所建立的域並不會起任何實際的作用,僅僅是在多域時作域區分建立域步驟三,為新域指定一個互聯網訪問伺服器的服務埠,一般默認為21建立域步驟四,為新域指定信息保存至何種類型文件,一般選擇保存到安裝目錄的INI文件,如果預算FTP伺服器建立FTP域的數量比較多,可以將其保存到注冊表中,加快軟體的運行的效率域的建立已經完成,並且我們看到所建立的域已經在運行狀態(Domain is online)。有朋友問,這里有一個Enable dynamic DNS的選項,是否能把花生殼帳號填寫進去直接享受花生殼動態域名解析?很抱歉告訴你,當前版本Serv-U未嵌入花生殼動態域名解析服務,需要執行第二步操作安裝桌面式管理的花生殼3.x動態域名解析軟體享受多姿多彩的花生殼樂趣,也許日後花生殼能內嵌到各種伺服器軟體中與大家見面。接著,我們在剛新建的域裡面開始添加FTP訪問用戶。右鍵「Users」-「New User」新建登陸帳號,在加入新用戶第一步 User name中填寫登陸名稱。第二步Password中填寫登陸密碼。第三步Home Directory中填寫該用戶的默認登陸目錄。第四步選擇該用戶是否鎖定在對應默認目錄,如果選定該項,將來給予用戶更多的目錄許可權,用戶登陸後也僅可訪問默認目錄。完成鎖定用戶設置後,用戶登陸FTP的帳號已經建立完畢。針對單個用戶有很多擴展的功能可以設置,例如是設定該用戶的自動關閉時間、限制用戶的上傳/下載速率以及連接線程、限制用戶在對磁碟空間的使用等等,不過別忘了在用戶對應的目錄屬性中給予許可權,如果你想這個用戶可以上傳資料,那麼可以根據實際情況給予目錄或文件的列表、讀取、寫入、刪除許可權。有關擴展性的應用,後文會摘互聯網一些精華內容供大家參考,在此不再細述。四、調試FTP伺服器
在測試過程中我們使用CuteftpPro對所建立的FTP伺服器進行連接通訊。有關CuteftpPro FTP客戶端,請登陸到GlobalScape網站 http://www.globalscape.com/downloads/index.asp下載一個,或到國內的軟體站連漢化版一起下載下來安裝。
安裝完成後運行CuteftpPro,選擇菜單的File-New-Ftp site新建一個FTP站點。在FTP管理器窗口中填寫FTP登陸信息:
Label:填寫這個站點的標識
Host address:填寫FTP伺服器地址,這里填寫在第二部申請的花生殼域名
Username、Password:用戶名、密碼
如果FTP伺服器的埠為非標准21埠,那麼需要在Type中的Port更改成對應的埠。
都設置完畢後,選擇Connect。軟體會自動保存所填寫的站點信息保存,並連接到FTP伺服器。我們看到通過輸入的登陸信息連接到FTP伺服器的對應目錄。連接成功後。左邊窗口是本地目錄,右邊是已經連接上的FTP目錄,而下面是工作隊列。要上傳或下載,只需要用滑鼠把文件從兩窗口之間拖動,很方便哩五、Serv-U相關的擴展設置資料
1.對FTP用戶的管理
在用戶的增加過程中,可能您沒有找到有關添加匿名用戶訪問的選項。其實很簡單,添加一個用戶名為anonymous的用戶,密碼隨便填,目錄許可權登陸重新配置一下便完成。
欲增加一個新用戶(包括增加Anonymous用戶),則在管理器的左邊框架中選中Users(用戶),然後單擊右鍵,進入NewUser(新用戶),依次根據提示為它設置好UserName(用戶名)、Password(密碼)、Homedirectory(主目錄)等即可完成。
欲刪除一個用戶,則在此用戶上單擊右鍵,選DeleteUser(刪除用戶)即可。
欲復制一個用戶,則在此用戶上單擊右鍵,選CopyUser(復制用戶),則會多出一個名字如Copyofxxx格式的新用戶,它除了用戶名和原來的用戶不同外,其他部分(包括密碼、主目錄、目錄許可權等等)均與之完全一致。
欲暫時禁止一個用戶的登錄許可權,只需先在左邊框架中選中此用戶,然後在右邊框架中進入Account(賬戶)窗口,勾選中Disableaccount(禁止賬戶)即可。
2.對目錄許可權的管理
在管理器左邊框架中選中用戶名,再在右邊框架中進入DirAccess(目錄存取)窗口,然後在列表中選中相應目錄後,就可以在窗口的右側更改當前用戶對它的訪問許可權了。
說明
1.Read(讀):對文件進行讀操作(復制、下載,不含查看)的權力。
2.Write(寫):對文件進行寫操作(上傳)的權力。
3.Append(附加):對文件進行寫操作和附加操作的權力。
4.Delete(刪除):對文件進行刪除(上傳、更名、刪除、移動)操作的權力。
5.Execute(執行):直接運行可執行文件的權力。
6.List(列表):對文件和目錄的查看權力。
7.Create(建立):建立目錄的權力。
8.Remove(移動):對目錄進行移動、刪除和更名的權力。
9.Inherit(繼承):如勾選中此項,則以上設置的屬性將對當前Path(目錄)及其下的整個目錄樹起作用;否則就只對其當前Path(目錄)有效。
3.增加虛擬目錄
比如匿名用戶(Anonymous)的主目錄為D:\test,想要能通過 ftp://Orayexample.vicp.net/test的格式能訪問到在E:\test\123\中的內容,則需要為它添加虛擬目錄。操作步驟如下:
(1)在管理器左邊框架中,選擇Domains(域名)下的Settings(設置),再在右邊框架中轉到General(常用)窗口。
(2)單擊Virtualpathmappings(虛擬目錄映射)下的Add(增加)按鈕,之後根據提示在Physicalpath(物理路徑)下選擇E:\test\123,在MapPhysicalpathto(映射物理路徑到)下選擇D:\test,在mappedpathname(映射路徑名)處輸入test,即可添加此虛擬目錄的映射記錄。
(3)最後在管理器的左邊框架中選中Anonymous用戶,再在右邊框架中轉到DirAccess(目錄存取)窗口,按Add(添加)按鈕將目錄E:\test\123增加到列表中去。
『玖』 FTP的防範與攻擊如何實現
------------------------FTP安全考慮—RFC2577----------------------------------
1.簡介
文件傳輸協議規范(FTP)[PR85]提供了一種允許客戶端建立FTP控制連接並在兩台
FTP伺服器間傳輸文件的機制。這種「代理FTP」機制可以用來減少網路的流量,客戶端命
令一台伺服器傳輸文件給另一台伺服器,而不是從第一台伺服器傳輸文件給客戶端,然後從
客戶端再傳輸給第二台伺服器。當客戶端連接到網路的速度特別慢時,這是非常有用的。但
同時,代理FTP還帶來了一個安全問題——「跳轉攻擊(bounce attack)」[CERT97:27]。除
了「跳轉攻擊」,FTP伺服器還可以被攻擊者通過強力來猜測密碼。
本文檔並不考慮當FTP和一些強壯的安全協議(比如IP安全)聯合使用的情況。雖然
這些安全關注並不在本文檔的考慮范圍內,但是它們也應該被寫成文檔。
本文給FTP伺服器的實現者和系統管理員提供了一些信息,如下所示。第二章描述了
FTP「跳轉攻擊」。第三章提供了減少「跳轉攻擊」的建議。第四章給基於網路地址限制訪
問的伺服器提供了建議。第五章提供了限制客戶端強力「猜測密碼」的建議。接著,第六章
簡單的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端
口盜用。最後,第九章討論了其它跟軟體漏洞有關而跟協議本身無關的FTP安全問題。
2.跳轉攻擊(Bounce Attack)
RFC959[PR85]中規定的FTP規范提供了一種攻擊知名網路伺服器的一種方法,並且使
攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT"命令給目標FTP伺服器,其中包含該主機
的網路地址和被攻擊的服務的埠號。這樣,客戶端就能命令FTP伺服器發一個文件給被
攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)。由於是
命令第三方去連接到一種服務,而不是直接連接,就使得跟蹤攻擊者變得困難,並且還避開
了基於網路地址的訪問限制。
例如,客戶端上載包含SMTP命令的報文到FTP伺服器。然後,使用正確的PORT命
令,客戶端命令伺服器打開一個連接給第三方機器的SMTP埠。最後,客戶端命令服務
器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接
的連接而在第三方機器上偽造郵件,並且很難跟蹤到這個攻擊者。
3.避免跳轉攻擊
原來的FTP規范[PR85]假定使用TCP進行數據鏈接,TCP埠號從0到1023時報留給
一些眾所周知的服務的,比如郵件,網路新聞和FTP控制鏈接。FTP規范對數據鏈接沒有
限制TCP埠號。因此,使用代理FTP,客戶端就可以命令伺服器去攻擊任何機器上眾所
周知的服務。
為了避免跳轉攻擊,伺服器最好不要打開數據鏈接到小於1024的TCP埠號。如果服
務器收到一個TCP埠號小於1024的PORT命令,那麼可以返回消息504(對這種參數命
令不能實現)。但要注意這樣遺留下那些不知名服務(埠號大於1023)易受攻擊。
一些建議(例如[AOM98]和[Pis94])提供了允許使用除了TCP以外的其他傳輸協議來
建立數據連接的機制。當使用這些協議時,同樣要注意採用類似的防範措施來保護眾所周知
的服務。
另外,我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP伺服器然後再下
載到准備攻擊的服務埠上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊
者也可能通過從遠程FTP伺服器發送一些能破壞某些服務的數據來攻擊它。
禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV
命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力,當然代理FTP並不是在所
有場合都需要的。
4.受限制的訪問
一些FTP伺服器希望有基於網路地址的訪問控制。例如,伺服器可能希望限制來自某
些地點的對某些文件的訪問(例如為了某些文件不被傳送到組織以外)。在這種情況下,服
務器在發送受限制的文件之前應該首先確保遠程主機的網路地址在本組織的范圍內,不管是
控制連接還是數據連接。通過檢查這兩個連接,伺服器就被保護避免了這種情況:控制連接
用一台可信任的主機連接而數據連接不是。同樣的,客戶也應該在接受監聽模式下的開放端
口連接後檢察遠程主機的IP地址,以確保連接是由所期望的伺服器建立的。
注意,基於網路地址的受限訪問留下了FTP伺服器易受「地址盜用(spoof)」攻擊。在
spoof攻擊中,攻擊機器可以冒用在組織內的機器的網路地址,從而將文件下載到在組織之
外的未授權的機器上。只要可能,就應該使用安全鑒別機制,比如在[HL97]中列出的安全鑒
別機制。
5.保護密碼
為了減少通過FTP伺服器進行強力密碼猜測攻擊的風險,建議伺服器限制嘗試發送正
確的密碼的次數。在幾次嘗試(3~5次)後,伺服器應該結束和該客戶的控制連接。在結束
控制連接以前,伺服器必須給客戶端發送一個返回碼421(「服務不可用,關閉控制連接」
[PR85])。另外,伺服器在相應無效的「PASS」命令之前應暫停幾秒來消減強力攻擊的有效
性。若可能的話,目標操作系統提供的機制可以用來完成上述建議。
攻擊者可能通過與伺服器建立多個、並行的控制連接破壞上述的機制。為了搏擊多個並
行控制連接的使用,伺服器可以限制控制連接的最大數目,或探查會話中的可疑行為並在以
後拒絕該站點的連接請求。然而上述兩種措施又引入了「服務否決」攻擊,攻擊者可以故意
的禁止有效用戶的訪問。
標准FTP[PR85]在明文文本中使用「PASS」命令發送密碼。建議FTP客戶端和伺服器
端使用備用的鑒別機制,這種鑒別機制不會遭受竊聽。比如,IETF公共鑒別技術工作組開
發的機制[HL97]。
6.私密性
在FTP標准中[PR85]中,所有在網路上被傳送的數據和控制信息(包括密碼)都未被
加密。為了保障FTP傳輸數據的私密性,應盡可能使用強壯的加密系統。在[HL97]中定義
了一個這樣的機制。
7.保護用戶名
當「USER」命令中的用戶名被拒絕時,在FTP標准中[PR85]中定義了相應的返回碼530。
而當用戶名是有效的但卻需要密碼,FTP將使用返回碼331。為了避免惡意的客戶利用USER
操作返回的碼確定一個用戶名是否有效,建議伺服器對USER命令始終返回331,然後拒絕
對無效用戶名合並用戶名和密碼。
8.埠盜用
許多操作系統以遞增的順序動態的分配埠號。通過合法的傳輸,攻擊者能夠觀察當前
由伺服器端分配的埠號,並「猜」出下一個即將使用的埠號。攻擊者可以與這個埠建
立連接,然後就剝奪了下一個合法用戶進行傳輸的能力。或者,攻擊者可以盜取給合法用戶
的文件。另外,攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP
客戶和伺服器隨機的給數據連接分配埠號,或者要求操作系統隨機分配埠號,或者使用
與系統無關的機制都可以減少埠盜用的發生。
9.基於軟體的安全問題
本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由於不
完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍,還是有必要指出
以下那些過去曾被誤用,今後的實現應該慎重考慮的FTP特性。
? 匿名FTP
匿名FTP服務使客戶端用最少的證明連接到FTP伺服器分享公共文件。如果這樣的用
戶能夠讀系統上所有的文件或者能建立文件,那麼問題就產生了。[CERT92:09] [CERT93:06]
? 執行遠程命令
FTP擴展命令"SITE EXEC"允許客戶端執行伺服器上任意的命令。這種特性顯然需要非
常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP「SITE EXEC」命令可以破壞服
務器的安全性。[CERT94:08] [CERT95:16]
? 調試代碼
前面的一些跟FTP有關危及安全的問題是由於置入了調試特性的軟體造成的。
[CERT88:01]
本文建議有這些功能的FTP伺服器的實現者在發布軟體之前參閱所有的CERT有關這
些問題的攻擊以及類似機制的忠告。
10.結論
使用以上建議可以減少和FTP伺服器有關的安全問題的發生,而不用刪除其功能。