1. java ftp 和 sftp的區別
FTP是文件傳輸協議。在網站上,如果你想把文件和人共享,最便捷的方式莫過於把文件上傳到FTP伺服器上,其他人通過FTP客戶端程序來下載所需要的文件。 FTP進行文件傳輸需要通過埠進行。一般所需埠為: 1. 控制鏈路—TCP埠21。控制器端。用於發送指令給伺服器以及等待伺服器響應。 2. 數據鏈路---TCP埠20。數據傳輸埠。用來建立數據傳輸通道的。主要用來從客戶向伺服器發送一個文件、從伺服器向客戶發送一個文件、從伺服器向客戶發送文件或目錄列表。 FTP為了適應不同的網路環境,支持主動連接和被動連接兩種模式。這兩種模式都主要針對數據鏈路進行的,跟控制鏈路無關。 FTP的安全隱患: 一、FTP伺服器軟體漏洞。 二、明文口令。 三、FTP旗標。 四、通過FTP伺服器進行埠掃描。 五、數據劫持。 FTP的安全策略: 一、使用較比安全的系統和FTP服務軟體。 二、使用密文傳輸用戶名和口令。 三、更改服務軟體的旗標。 四、加強協議安全性。 SFTP是Secure File Transfer Protocol的縮寫,是安全文件傳送協議。可以為傳輸文件提供一種安全的加密方法。跟ftp幾乎語法功能一樣。 SFTP是SSH的一部分,是一種傳輸檔案至Blogger伺服器的安全方式。它...
2. 什麼是FTP木馬
木馬下載者 Trojan-Downloader.Win32.QQHelper.ftp
病毒名稱
Trojan-Downloader.Win32.QQHelper.ftp
捕獲時間
2007年9月9日
病毒症狀
該木馬程序是一個用Delphi語言編寫的木馬,長度127,488 位元組,無裝飾性圖標,發作後將自身和釋放的庫文件Vermin.dll插入explorer.exe及其子進程,在後台下載其他木馬程序。
病毒分析
該木馬是一個比較頑固的木馬程序,觸發後會拷貝自身文件到系統目錄的inf文件夾下執行,並將其注冊為服務名為"Windows Media Service"的系統服務以獲得系統許可權,服務描述"管理多媒體設備,如果服務被終止,音頻設備及其音效將不能正常工作。如果此服務被禁用,任何依它的服務將無法啟動";釋放Vermin.dll監控系統消息;通過調試手段將自身映像和Vermin.dll模塊注入到explorer.exe及其所有子進程中,在後台調用相關下載函數下載其他木馬程序;通過查找窗口以及窗口類的方式獲取某些安全軟體的進程,嘗試強行終止安全軟體進程或通過發送消息強行關閉其窗口;使用IFEO映像劫持系統文件ctfmon.exe(即Windows任務欄的語言欄工具條)到病毒映像路徑,使得木馬會在開機時自動啟動。
感染對象
Windows2000/Windows XP/Windows2003
傳播途徑
文件捆綁/網頁木馬傳播
安全提示
已安裝微點主動防禦軟體的用戶,無論您是否已經升級到最新版本,微點主動防禦都能夠有效防禦該木馬程序。如果您沒有將微點主動防禦軟體升級到最新版,微點主動防禦軟體在發現該病毒後將報警提示您「發現未知木馬」,請直接選擇刪除處理(如圖1);
如果您已經將微點主動防禦軟體升級到最新版本,微點將報警提示您發現Trojan-Downloader.Win32.QQHelper.ftp」,請直接選擇刪除(如圖2)。
使用其它殺毒軟體的用戶,請盡快將您的殺毒軟體特徵庫升級到最新版本進行查殺,並開啟防火牆攔截網路異常訪問,如依然有異常情況請注意及時與專業的安全軟體廠商聯系獲取技術支持。由於該病毒的特殊性,會自動終止某些殺毒軟體運行,如果您的殺毒軟體已經無法正常運行,您也可以嘗試安裝微點解決。
沒有安裝微點主動防禦軟體的用戶,建議您盡快安裝使用微點主動防禦軟體查殺預防各類新病毒。
3. 如何保證文件傳輸伺服器FTP的安全
,系統的安全性是非常重要的,這是建立
FTP伺服器
者所考慮的
第一個問題
。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受
匿名FTP
連接,匿名FTP用戶可以使用"
anonymous
"或"FTP"作為用戶名,自己的Internet
電子郵件地址
作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的
文件屬性
進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些
系統文件
,應將這個目錄的所有者設為"root"(即
超級用戶
),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
4. 網路應用層協議
(1)域名系統(Domain Name System,DNS):用於實現網路設備名字到IP地址映射的網
絡服務。
(2)文件傳輸協議(File Transfer Protocol,FTP):用丁實現互動式文件傳輸功能。
(3)簡單郵件傳送協議(Simple Mail Transfer Protocol, SMTP):用於實現電子郵箱傳送功能
(4)超文本傳輸協議(HyperText Transfer Protocol,HTTP):用於實現WWW服務。
(5)簡單網路管理協議(simple Network Management Protocol,SNMP):用於管理與監視網路設備。
(6)遠程登錄協議(Telnet):用於實現遠程登錄功能。
5. FTP的防範與攻擊如何實現
------------------------FTP安全考慮—RFC2577----------------------------------
1.簡介
文件傳輸協議規范(FTP)[PR85]提供了一種允許客戶端建立FTP控制連接並在兩台
FTP伺服器間傳輸文件的機制。這種「代理FTP」機制可以用來減少網路的流量,客戶端命
令一台伺服器傳輸文件給另一台伺服器,而不是從第一台伺服器傳輸文件給客戶端,然後從
客戶端再傳輸給第二台伺服器。當客戶端連接到網路的速度特別慢時,這是非常有用的。但
同時,代理FTP還帶來了一個安全問題——「跳轉攻擊(bounce attack)」[CERT97:27]。除
了「跳轉攻擊」,FTP伺服器還可以被攻擊者通過強力來猜測密碼。
本文檔並不考慮當FTP和一些強壯的安全協議(比如IP安全)聯合使用的情況。雖然
這些安全關注並不在本文檔的考慮范圍內,但是它們也應該被寫成文檔。
本文給FTP伺服器的實現者和系統管理員提供了一些信息,如下所示。第二章描述了
FTP「跳轉攻擊」。第三章提供了減少「跳轉攻擊」的建議。第四章給基於網路地址限制訪
問的伺服器提供了建議。第五章提供了限制客戶端強力「猜測密碼」的建議。接著,第六章
簡單的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端
口盜用。最後,第九章討論了其它跟軟體漏洞有關而跟協議本身無關的FTP安全問題。
2.跳轉攻擊(Bounce Attack)
RFC959[PR85]中規定的FTP規范提供了一種攻擊知名網路伺服器的一種方法,並且使
攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT"命令給目標FTP伺服器,其中包含該主機
的網路地址和被攻擊的服務的埠號。這樣,客戶端就能命令FTP伺服器發一個文件給被
攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)。由於是
命令第三方去連接到一種服務,而不是直接連接,就使得跟蹤攻擊者變得困難,並且還避開
了基於網路地址的訪問限制。
例如,客戶端上載包含SMTP命令的報文到FTP伺服器。然後,使用正確的PORT命
令,客戶端命令伺服器打開一個連接給第三方機器的SMTP埠。最後,客戶端命令服務
器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接
的連接而在第三方機器上偽造郵件,並且很難跟蹤到這個攻擊者。
3.避免跳轉攻擊
原來的FTP規范[PR85]假定使用TCP進行數據鏈接,TCP埠號從0到1023時報留給
一些眾所周知的服務的,比如郵件,網路新聞和FTP控制鏈接。FTP規范對數據鏈接沒有
限制TCP埠號。因此,使用代理FTP,客戶端就可以命令伺服器去攻擊任何機器上眾所
周知的服務。
為了避免跳轉攻擊,伺服器最好不要打開數據鏈接到小於1024的TCP埠號。如果服
務器收到一個TCP埠號小於1024的PORT命令,那麼可以返回消息504(對這種參數命
令不能實現)。但要注意這樣遺留下那些不知名服務(埠號大於1023)易受攻擊。
一些建議(例如[AOM98]和[Pis94])提供了允許使用除了TCP以外的其他傳輸協議來
建立數據連接的機制。當使用這些協議時,同樣要注意採用類似的防範措施來保護眾所周知
的服務。
另外,我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP伺服器然後再下
載到准備攻擊的服務埠上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊
者也可能通過從遠程FTP伺服器發送一些能破壞某些服務的數據來攻擊它。
禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV
命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力,當然代理FTP並不是在所
有場合都需要的。
4.受限制的訪問
一些FTP伺服器希望有基於網路地址的訪問控制。例如,伺服器可能希望限制來自某
些地點的對某些文件的訪問(例如為了某些文件不被傳送到組織以外)。在這種情況下,服
務器在發送受限制的文件之前應該首先確保遠程主機的網路地址在本組織的范圍內,不管是
控制連接還是數據連接。通過檢查這兩個連接,伺服器就被保護避免了這種情況:控制連接
用一台可信任的主機連接而數據連接不是。同樣的,客戶也應該在接受監聽模式下的開放端
口連接後檢察遠程主機的IP地址,以確保連接是由所期望的伺服器建立的。
注意,基於網路地址的受限訪問留下了FTP伺服器易受「地址盜用(spoof)」攻擊。在
spoof攻擊中,攻擊機器可以冒用在組織內的機器的網路地址,從而將文件下載到在組織之
外的未授權的機器上。只要可能,就應該使用安全鑒別機制,比如在[HL97]中列出的安全鑒
別機制。
5.保護密碼
為了減少通過FTP伺服器進行強力密碼猜測攻擊的風險,建議伺服器限制嘗試發送正
確的密碼的次數。在幾次嘗試(3~5次)後,伺服器應該結束和該客戶的控制連接。在結束
控制連接以前,伺服器必須給客戶端發送一個返回碼421(「服務不可用,關閉控制連接」
[PR85])。另外,伺服器在相應無效的「PASS」命令之前應暫停幾秒來消減強力攻擊的有效
性。若可能的話,目標操作系統提供的機制可以用來完成上述建議。
攻擊者可能通過與伺服器建立多個、並行的控制連接破壞上述的機制。為了搏擊多個並
行控制連接的使用,伺服器可以限制控制連接的最大數目,或探查會話中的可疑行為並在以
後拒絕該站點的連接請求。然而上述兩種措施又引入了「服務否決」攻擊,攻擊者可以故意
的禁止有效用戶的訪問。
標准FTP[PR85]在明文文本中使用「PASS」命令發送密碼。建議FTP客戶端和伺服器
端使用備用的鑒別機制,這種鑒別機制不會遭受竊聽。比如,IETF公共鑒別技術工作組開
發的機制[HL97]。
6.私密性
在FTP標准中[PR85]中,所有在網路上被傳送的數據和控制信息(包括密碼)都未被
加密。為了保障FTP傳輸數據的私密性,應盡可能使用強壯的加密系統。在[HL97]中定義
了一個這樣的機制。
7.保護用戶名
當「USER」命令中的用戶名被拒絕時,在FTP標准中[PR85]中定義了相應的返回碼530。
而當用戶名是有效的但卻需要密碼,FTP將使用返回碼331。為了避免惡意的客戶利用USER
操作返回的碼確定一個用戶名是否有效,建議伺服器對USER命令始終返回331,然後拒絕
對無效用戶名合並用戶名和密碼。
8.埠盜用
許多操作系統以遞增的順序動態的分配埠號。通過合法的傳輸,攻擊者能夠觀察當前
由伺服器端分配的埠號,並「猜」出下一個即將使用的埠號。攻擊者可以與這個埠建
立連接,然後就剝奪了下一個合法用戶進行傳輸的能力。或者,攻擊者可以盜取給合法用戶
的文件。另外,攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP
客戶和伺服器隨機的給數據連接分配埠號,或者要求操作系統隨機分配埠號,或者使用
與系統無關的機制都可以減少埠盜用的發生。
9.基於軟體的安全問題
本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由於不
完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍,還是有必要指出
以下那些過去曾被誤用,今後的實現應該慎重考慮的FTP特性。
? 匿名FTP
匿名FTP服務使客戶端用最少的證明連接到FTP伺服器分享公共文件。如果這樣的用
戶能夠讀系統上所有的文件或者能建立文件,那麼問題就產生了。[CERT92:09] [CERT93:06]
? 執行遠程命令
FTP擴展命令"SITE EXEC"允許客戶端執行伺服器上任意的命令。這種特性顯然需要非
常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP「SITE EXEC」命令可以破壞服
務器的安全性。[CERT94:08] [CERT95:16]
? 調試代碼
前面的一些跟FTP有關危及安全的問題是由於置入了調試特性的軟體造成的。
[CERT88:01]
本文建議有這些功能的FTP伺服器的實現者在發布軟體之前參閱所有的CERT有關這
些問題的攻擊以及類似機制的忠告。
10.結論
使用以上建議可以減少和FTP伺服器有關的安全問題的發生,而不用刪除其功能。
6. 網路安全漏洞含義
來源:趨勢科技認證信息安全專員(TCSP)教材
網路安全漏洞主要表現在以下幾個方面:
a. 系統存在安全方面的脆弱性:現在的操作系統都存在種種安全隱患,從Unix到Windows,五一例外。每一種操作系統都存在已被發現的和潛在的各種安全漏洞。
b. 非法用戶得以獲得訪問權。
c. 合法用戶未經授權提高訪問許可權。
d. 系統易受來自各方面的攻擊。
漏洞分類
常見的漏洞主要有以下幾類:
a. 網路協議的安全漏洞。
b. 操作系統的安全漏洞。
c. 用用程序的安全漏洞。
漏洞等級
按對目標主機的危害程度,漏洞可分為:
a. A級漏洞:允許惡意入侵者訪問並可能會破壞整個目標系統的漏洞
b. B級漏洞:允許本地用戶提高訪問許可權,並可能使其獲得系統控制的漏洞
c. C級漏洞:允許用戶終端、降低或阻礙系統操作的漏洞
安全漏洞產生的原因
安全漏洞產生的原因很多,主要有以下幾點:
a. 系統和軟體的設計存在缺陷,通信協議不完備。如TCP/CP協議既有很多漏洞。
b. 技術實現不充分。如很多緩存一處方面的漏洞就是在實現時缺少必要的檢查。
c. 配置管理和使用不當也能產生安全漏洞。如口令過於簡單,很容易被黑客猜中。
Internet服務的安全漏洞
網路應用服務,指的事在網路上所開放的一些服務,通常能見到如WEB、MAIL、FTP、DNS、TESLNET等。當然,也有一些非通用的服務,如在某些領域、行業中自主開發的網路應用程序。常見的Internet服務中都存在這樣那樣的安全漏洞。比如:
a. 電子郵件中的:冒名的郵件:匿名信:大量湧入的信件。
b. FTP中的:病毒威脅;地下站點。
FTP安全性分析
文件傳輸協議(File Transfer Protocol,FTP)是一個被廣泛應用的協議,它使得我們能夠在網路上方便地傳輸文件。早期FTP並沒有設計安全問題,隨著互聯網應用的快速增長,人們對安全的要求也不斷提高。
早期對FTP的定義指出,FTP是一個ARPA計算機網路上主機間文件傳輸的用戶級協議。其主要功能是方便主機間的文件傳輸,並且允許在其他主機上方便的進行存儲和文件處理;而現在FTP的應用范圍則是Internet。根據FTP STD 9定義,FTP的目標包括:
a.促進文件(程序或數據)的共享。
b.支持間接或隱式地試用遠程計算機。
c.幫助用戶避開主機上不同的協議和防火牆。
d.可靠並有效地傳輸數據。
關於FTP的一些其他性質包括:FTP可以被用戶在終端使用,但通常是給程序試用的。FTP中主要採用了傳輸控制協議(Transmission Control Protocol,TCP),以及Telnet協議。
防範反彈攻擊(The Bounce Attack)
1.漏洞
FTP規范[PR85]定義了「代理FTP」機制,即伺服器間交互模型。支持客戶建立一個FTP控制連接,然後在兩個伺服器間傳送文件,同時FTP規范中對試用TCPd埠號沒有任何限制,從0~1023的TCP埠號保留用於各種各樣的網路服務。所以,通過「代理FTP」,客戶可以名利FTP伺服器攻擊任何一台機器上的網路服務。
2.反彈攻擊
客戶發送一個包含被攻擊的機器和服務的網路地址和埠號的FTP「POST」命令。這時客戶要求FTP伺服器向被攻擊的伺服器發送一個文件,該文件應包含與被攻擊的服務相關的命令(如SMTP,NNTP)。由於是命令第三方去連接服務,而不是直接連接,這樣不僅使追蹤攻擊者變得困難,還能避開給予網路地址的訪問限制。
3.防範措施
最簡單的辦法就是封住漏洞。首先,伺服器最好不要建立TCP埠號在1024以下的連接。如果伺服器收到一個包含TCP埠號在1024以下的POST命令,伺服器可以返回消息504中定義為「對這種參數命令不能實現」)。其次,禁止試用POST命令,也是一個可選的防範反彈攻擊的方案。大多數的文件傳輸只需要PASV命令。這樣做的缺點事失去了試用「代理FTP」的可能性,但是在某些環境中並不需要「代理FTP」。
4.遺留問題
僅僅是控制1024以下的連接,仍會使用戶定義的服務(TCP埠號在1024以上)遭受反彈攻擊。
未完,待續……
7. FTP可否算是傳輸協議嗎
文件傳輸協議FTP是基於TCP / IP的應用層協議,其主要功能是提供文件的共享、支持遠距離計算機間接或直接連接、保護用戶不因各類主機文件存儲器系統的差異而受影響、進行可靠且有效的數據傳輸等,應用非常廣泛。但是傳統的FTP有不少的安全漏洞,例如明文傳輸、缺乏對數據的機密性和完整性保護,對通信雙方也沒有可靠的認證措施等。針對FTP的安全漏洞,近年來也出現了一些不需要對F IP協議自身做完全更改的協議擴展模塊,如FTP SSL /TLS Extension。SSL ( Secure Sockets Layer)是用於對TCP / IP數據流進行加密的協議,同時還包括了身份認證和數據完整性校驗等內容。顯然,基於SSL /TLS的FTP克服了明文傳輸的致命弱點,但是無可否認的是,在開放式的互聯網環境下FTP伺服器受到惡意攻擊的可能性還是很大,而且協議數據的安全性還是未得到保障。安全的本質是在信息的安全期內保證其在網路上流動的或 者靜態存放時不被非授權用戶非法訪問,但授權用戶卻可以訪問。基於這一概念,本文在SSL 的基礎上設計了一個安全FTP系統,從認證、傳輸、存儲三個方面大大提高了FTP的安全性。
8. 誰知道Serv-U FTP Server v6.3 for WinSock ready版本的FTP是否有漏洞
FTP簡介
FTP的全稱是File Transfer Protocol(文件傳輸協議)。顧名思義,就是專門用來傳輸文件的協議。而FTP伺服器,則是在互聯網上提供存儲空間的計算機,它們依照FTP協議提供服務。當它們運行時,用戶就可以連接到伺服器上下載文件,也可以將自己的文件上傳到FTP伺服器中。因此,FTP的存在,大大方便了網友之間遠程交換文件資料的需要,充分體現了互聯網資源共享的精神。現在許多朋友都已經用上了寬頻網,而且硬碟也有足夠的空間,完全可以通過軟體手段把自己的電腦變為一台FTP伺服器,和網路中的朋友們一起分享大家各自收藏的好東東!
用Serv-U架設個人FTP
架設FTP伺服器,其實並沒有技術難度,只需用Serv-U這個軟體就可輕松搞定了。Serv-U支持所有版本的Windows操作系統,可以設定多個FTP伺服器,可以限定登錄用戶的許可權、登錄目錄及伺服器空間大小,功能非常完善。以下筆者就以Serv-U漢化版為例,給大家講講架設個人FTP的具體步驟。
首先下載安裝Serv-U,運行,將出現「設置向導」窗口,我們就來跟隨著這個向導的指引,一步步進行操作。
1. 設置Serv-U的IP地址與域名
一路單擊「下一步」跳過系統提示信息,來到「您的IP地址」窗口(如圖1),這里要求輸入本機的IP地址。
圖1 輸入你的IP地址
如果你的電腦有固定的IP地址,那就直接輸入;如果你只有動態IP(例如撥號用戶),那該處請留空,Serv-U在運行時會自動確定你的IP地址。
下一步,進行「域名」設定。這個域名只是用來標識該FTP域,沒有特殊的含義,比如筆者輸入「ftp.wxxi520.com」。
接下來的「系統服務」選項必須選「是」,這樣當你的電腦一啟動,伺服器也會跟著開始運行。
2.設置匿名登錄
匿名訪問就是允許用戶以Anonymous為用戶名,無需特定密碼即可連接伺服器並拷貝文件。如果你不想讓陌生人隨意進入你的FTP伺服器,或想成立VIP會員區,就應該在「匿名賬號」窗口中選「否」,這樣就只有經過你許可的用戶才能登錄該FTP。鑒於匿名登錄尚有一定的實用需求,筆者在此選「是」(如圖2)。
圖2 允許匿名登錄
之後就要為匿名賬戶指定FTP上傳或下載的主目錄,這是匿名用戶登錄到你的FTP伺服器後看到的目錄。設定後,向導還會繼續詢問你是否將匿名用戶鎖定於此目錄中,從安全的角度考慮,建議選「是」。這樣匿名登錄的用戶將只能訪問你指定的主目錄及以下的各級子目錄,而不能訪問上級目錄,便於保證硬碟上其他文件的安全。
3.創建新賬戶
除了匿名用戶,我們一般還需要建立有密碼的專用賬號,也就是說可以讓指定用戶以專門的賬號和密碼訪問你的伺服器,這樣做適用於實行會員制下載或只讓好友訪問。在「命名的賬號」窗口中將「創建命名的賬號嗎」選為「是」,進入「賬號名稱」設置,填入你制定的賬號名稱,而後在「賬號密碼」窗口輸入該賬號的密碼。
單擊「下一步」,會要求你指定FTP主目錄,並詢問是否將用戶鎖定於主目錄中,選「是」,作用與匿名賬戶設定基本相同,不再贅述。
緊接著要設置該賬戶的遠程管理員許可權,分為「無許可權」、「組管理員」、「域管理員」、「只讀管理員」和「系統管理員」五種選項,每項的許可權各不相同,可根據具體情況進行選擇。
至此,我們已擁有了一個域——ftp.wxxi520.com及兩個用戶——Anonymous和wxxi520。點擊「完成」退出向導,稍等片刻Serv-U軟體主界面將自動彈出,我們還要在此進行一些管理員設置。
4.管理員設置
圖3為Serv-U管理員界面,每個Serv-U引擎都能用來運行多個虛擬的FTP伺服器,而虛擬的FTP伺服器就稱為「域」。
圖3 Serv-U管理員界面
對FTP伺服器來說,建立多個域是非常有用的,每個域都有各自的用戶、組和相關的設置。以下筆者就簡要說說管理器界面上必要的各項設置。
★ 首先點擊窗體左方的「本地伺服器」,勾選右邊的「自動開始(系統服務)」。
★ 選擇左方的「域→活動」,這里記載了該域下所有用戶的活動情況,是非常重要的監控數據。
★ 「域→組」:在此可自建一些用戶組,把各類用戶歸到相應的組中,便於管理。
★ 「域→用戶」:這里有我們剛建立的兩個賬號,其中的細節設置十分重要,具體如下。
賬號:如果有用戶違反FTP的規定,你可以點擊此處的「禁用賬號」,讓該用戶在一段時間內被禁止登錄。另外此處的「鎖定用戶於主目錄」一定要勾選,否則你硬碟的絕對地址將暴露。
常規:根據自身的實際需要,在此設置最大的下載和上傳速度、登錄到本伺服器的最大用戶數、同一IP的登錄線程數等。
IP訪問:你可以在此拒絕某個討厭的IP訪問你的FTP伺服器,只要在「編輯規則」處填上某個IP地址,以後該IP的訪問將會全部被攔下。
配額:勾選「啟用磁碟配額」,在此為每位FTP用戶設置硬碟空間。點擊「計算當前」,可知當前的所有已用空間大小,在「最大」一欄中設定最大的空間值。
最後,請在有改動內容的標簽卡上點擊右鍵,選擇「應用」,如此才能使設置生效!
好了!現在,一個簡單的個人FTP伺服器就已經完整地呈現在你面前了。不過這時還要測試一下能否成功地下載和上傳。
下載和上傳
要使用FTP伺服器下載和上傳,就要用到FTP的客戶端軟體。常用的FTP客戶端軟體有CuteFTP、FlashFXP、FTP Explorer等等。對於它們的具體使用,這里就不細講了。基本上只要在這些軟體的「主機名」處中填入你廟宇的FTP伺服器IP地址,而後依次填入用戶名,密碼和埠(一般為21),點擊連接,只要能看到你設定的主目錄並成功實現文件的下載和上傳,就說明這個用Serv-U建立起來的FTP伺服器能正常使用了!
9. 應用層的一般協議(HTTP、FTP等)最普遍的安全問題是什麼
淺談應用層協議的安全問題
我們常用的一些網路應用,例如電子商務就是在網路應用層進行的.那麼在應用層協議,我們是如何保證安全的呢?這方面,我們主要討論一下set協議.首先,我們來了解一下有關於網際網路上的安全協議環境.
開放的網際網路上處理電子商務,保證買賣雙方傳輸數據的安全成為電子商務的重要的問題。為了克服ssl安全協議的缺點,滿足電子交易持續不斷地增加的安全要求,為了達到交易安全及合乎成本效益的市場要求,visa國際組織及其它公司如master card、micro soft、ibm等共同制定了安全電子交易(set:secure electronic transactions)公告。
這是一個為在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款系統規范,它採用公鑰密碼體制和x.509數字證書標准,主要應用於b to c模式中保障支付信息的安全性。set在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證,這對於需要支付貨幣的交易來講是至關重要的。由於設計合理,set應用層協議得到了許多大公司和消費者的支持,己成為全球網路的工業標准,其交易形態將成為未來「電子商務"的規范。
1.set應用層協議的描述
安全電子交易規范,為在網際網路上進行安全的電子商務提供了一個開放的標准。set主要使用電子認證技術,其認證過程使用rsa和des演算法,因此,可以為電子商務提供很強的安全保護。可以說,set規范是目前電子商務中最重要的協議,它的推出必將大大促進電子商務的繁榮和發展。set將建立一種能在網際網路上安全使用銀行卡進行購物的標准。安全電子交易規范是一種為基於信用卡而進行的電子交易提供安全措施的規則,是一種能廣泛應用於網際網路的安全電子付款協議,它能夠將普遍應用的信用卡使用起始點從目前的商店擴展到消費者家裡,擴展到消費者的個人計算機中。
set安全電子交易協議是一種基於消息流的協議,該協議主要是為了解決用戶、商家和銀行之間通過信用卡在線支付而設計的,以保證支付信息的機密、支付過程的完整、持卡人的合法身份以及可操作性。set中的核心技術主要有公開密鑰加密、數字簽名、數字信封、數字證書等。set應用層協議的工作原理和流程如下圖所示:
2.set應用層協議要達到的的目標主要有五個:
(1)保證電子商務參與者信息的相互隔離。客戶的資料加密或打包後邊過商家到達銀行,但是商家不能看到客戶的帳戶和密碼信息;
(2)保證信息在網際網路上安全傳輸,防止數據彼黑客或被內部人員竊取;
(3)解決多方認證問題,不僅要對消費者的信角卡認證,而且要對在線商店的信譽程度認證,同時還有消費看、在線商店與銀行間的認證;
(4)保證了網上交易的實時性,使所有的支付過程都是在線的;
(5)規范協議和消息格式,促使不同廠家開發的軟體具有兼容性和互操作功能,並且可以運行在不同的硬體和操作系統平台上。
10. 網路漏洞的網路漏洞出現
在商業世界,漏洞主要是因為設計和實施中出現錯誤所致,造成信息完整性、可獲得性和保密性受損。錯誤通常在軟體中,也存在於各個信息系統層,從協議規格到設計到物理硬體。網路漏洞還可能是惡意用戶或自動惡意代碼故意為之。重要系統或網路中單個漏洞可能會嚴重破壞一個機構的安全態勢。
美國國防部對「漏洞」一詞的定義是易受攻擊性或「利用信息安全系統設計、程序、實施或內部控制中的弱點不經授權獲得信息或進入信息系統。」這里的關鍵詞是「弱點」。任何系統或網路中的弱點都是可防的。
但是,系統或網路中的弱點表明解決方案是已知的,能夠實施的。有許多系統和網路漏洞分析器,包括自動漏洞檢測系統和TIGER系統。網路攻擊向量是對某一或多個具體目標實施攻擊的明確的路徑。自動漏洞檢測系統和TIGER系統利用模擬網路攻擊分析網路的整個態勢,常規失敗概率很低。
網路專家利用的其他類似工具有安全管理員網路集成工具(SAINT)和網路映射器(NMAP)——基於漏洞的評估工具,既快又可靠。由於NMAP攜帶方便、操作簡單,黑客也常常使用。它有用於Linux, UniX和微軟Windows平台的多種版本,能輕松掃描包含成百上千個系統和伺服器的巨型網路。SAINT和NMAP能對網路的埠或服務系統進行掃描,顯然也能被惡意和非惡意者利用。攻擊特徵和地址性質決定了新的攻擊或攻擊向量能躲過大多數漏洞評估工具。
例如,如果埠21——文件傳輸協議(FTP)的默認埠正在運行的話,對網路伺服器進行快速漏洞檢查能發現潛在的問題。傳統的FTP程序不提供數據加密,用戶認證級別很低,因此傳輸中相對容易竊取未加密數據。由於用戶認證系統功能不強,黑客如果能誘騙系統認為他是FTP伺服器的合法用戶,就能進入系統,這就出現了另外一個問題。解決這些漏洞就是應用加密技術。Secure-shell (SSH)FTP或SFTP通過加密保證數據的完整性和保密性。SFTP利用SSH進行可靠的數據連接保證遠程文檔安全傳輸。該協議使用埠22,系統管理員不用傳統的FTP伺服器,因此不需要使用埠21.令人驚訝的是,當他們運行SFTP時,有幾個管理員錯誤地忘記關掉FTP,這樣為黑客留下可利用的後門。
漏洞評估工具是雙向的。盡管它們提供管理員評估系統和網路狀態非常需要的能力,但這些工具也為惡意黑客提供了掃描能力。任何埠掃面工具能遠程刺探網路伺服器,決定哪個埠是對外部開發的。黑客還能發現這些開發的埠是否可以利用。
