应用分析-FTP文件传输应用分析.docVIP

应用分析 － FTP文件传输应用分析 FTP简介 文件传输 文件传输服务是网络互联环境所必需的一种服务，当前网络中文件传输最主要的传输方式是使用FTP协议。 FTP，全称File Transfer Protocol，中文名为文件传输协议，它可以在网络中传输电子、声音、程序如果用户将文件从自己的计算机上发送到另一台计算机上，使用FTP上（upload）或（put）而更多种的情况是用户使用FTP下载（download）或获取（get）。FTP工作原理 一个完整的FTP文件传输需要建立两种类型的连接，一种为文件传输下命令，称为控制连接，另一种实现真正的文件传输，称为数据连接。 控制连接 客户端希望与FTP服务器建立上传下载的数据传输时，它首先向服务器的TCP 21端口发起一个建立连接的请求，FTP服务器接受来自客户端的请求，完成连接的建立过程，这样的连接就称为FTP控制连接。 数据连接 FTP控制连接建立之后，即可开始传输文件，传输文件的连接称为FTP数据连接。FTP数据连接就是FTP传输数据的过程，它有两种传输模式：主动传输模式（PORT）和被动传输模式（PASSIVE，简称PASV）。主动传输模式下，FTP服务器使用20端口与客户端的暂时端口进行连接，并传输数据，客户端只是处于接收状态。被动传输模式下，FTP服务器打开一个暂态端口等待客户端对其进行连接，并传输数据，服务器并不参与数据的主动传输，只是被动接受。 具体分析FTP传输 分析FTP传输的具体流程 对FTP进行，首先使用的是还是模式因为这两种，两种模式图1所示为科来网络分析系统5.0对上述操作进行捕获后的连接视图。 （图1　FTP主动传输模式下的连接及数据流重组信息） 从图1中可知，上述的操作在客户端和服务器之间建立了七个连接，其中第一个为FTP控制连接，其余六个为FTP数据连接。详细查看FTP控制连接对应的数据流重组信息，我们可以知道上述操作的原始步骤（即FTP主动传输模式下的步骤）如下： 客户端使用暂时端口作为源端口TCP SYN的数据包，请求建立TCP连接；服务器发送SYNACK（同步确认）包给客户端，源端口为21，目端口为客户端上使用的暂时端口；客户端发送一个ACK（确认）包；Windows_NT version 5.0，即Windows 2000； 客户端使用PWD命令获取当前目录，当前为“/”，即当前处于FTP服务器的根目录； 客户端使用PORT命令向FTP服务器发送一个上传或下载文件的请求，命令包含一个暂时端口，服务器；PORT命令t1.cap； FTP服务器使用226应答码告诉客户端t1.cap文件的传输成功完成； 客户端使用PWD或CWD命令再次获取当FTP服务器的当前目录，即刷新当前目录； 客户端使用TYPE命令将FTP服务器的传输方式重新设置为默认的ASCII方式； 客户端再次使用PORT命令数据传输完成以后，一个数据这个FIN需要ACK数据包确认，发送数据，这个FINACK数据包确认t1.cap、第五个PORT命令请求传输文件、第六个RETR命令下载文件Readme.txt、第七个关闭连接。 （注意：客户端在控制连接上发送命令，打开和关闭另外的数据连接图2所示的是在进行主动模式的FTP数据传输后，科来网络分析系统5.0的日志视图记录下的FTP传输日志信息。从中可以知道，当前FTP数据传输操作的客户端、FTP服务器端、使用的账号、操作的类型（上传或下载）、传输的文件及路径、传输模式（主动或被动）等信息。要查看日志的所有信息，请在图2所示视图的列头（序号、客户端IP……）中，单击鼠标右键，在弹出的快捷菜单中，单击“More …”，在弹出的“列表选项”对话框中，选中所有的项，单击确定保存即可。 （图2　FTP主动传输模式下的日志信息） 被动传输模式 我们使用科来网络分析系统5.0捕获并分析一个被动模式下的FTP数据传输。客户端主机名为“wangym”，FTP服务器地址是00，客户端上使用的FTP客户端软件为SecureFX 2.1.4，传输模式采用被动（PASSIVE）模式。 在客户端主机上打开科来网络分析系统5.0。为避免数据干扰，设定一个过滤器，只捕获本机的数据通讯。在FTP客户端软件SecureFX 2.1.4上，建立一个FTP会话连接到FTP服务器00，并上传一个名为t1.cap的文件到服务器，从服务器上下载一个名为Readme.txt的文件到客户端。完成操作后停止科来网络分析系统5.0的捕获。 图3所示为科来网络分析系统5.0对上述操作进行捕获后的连接视图。 （图3　FTP被动传输模式下的连接及数据流重组信息） 从图3中可知，上述的操作在客户端和服务器之间建立了七个连接，其中第一个为FTP控制连接，其余六个为TCP连接。详细查