FTP协议的安全性问题教程.pptxVIP

FTP协议的安全性问题及解决办法 一、 概述 FTP协议是网络中常用的协议之一，用于用户间的文件传输。由于FTP协议在设计时是建立在一个相互信任的平台上，但在网络安全威胁越来越严重的今天，FTP协议的安全性问题也越来越严重。文章重点分析了FTP协议只使用用户名和密码进行登陆、用明文传输用户名和密码以及任意用户都可登陆FTP服务器的特点造成的安全性问题，并且提出了相应的改进措施。 二、FTP的基本工作原理 FTP即文件传输协议。文件传输协议使得主机间可以共享文件。 FTP 使用TCP 生成一个虚拟连接用于控制信息，然后再生成一个单独的 TCP 连接用于数据传输。控制连接使用类似TELNET协议在主机间交换命令和消息。文件传输协议是TCP/IP网络上两台计算机传送文件的协议，FTP是在TCP/IP网络和INTERNET上最早使用的协议之一，它属于网络协议组的应用层。FTP客户机可以给服务器发出命令来下载文件，上传文件，创建或改变服务器上的目录。 文件传送协议 FTP 只提供文件传送的一些基本的服务，它使用 TCP可靠的运输服务。FTP的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。 FTP 的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。FTP 使用客户服务器方式。一个 FTP 服务器进程可同时为多个客户进程提供服务。FTP 的服务器进程由两大部分组成：一个主进程，负责接受新的请求；另外有若干个从属进程，负责处理单个请求。 主进程的工作步骤如下： （1）打开熟知端口（端口号为 21），使客户进程能够连接上。 （2）等待客户进程发出连接请求。 （3）启动从属进程来处理客户进程发来的请求。从属进程对客户 进程的请求处理完毕后即终止，但从属进程在运行期间根据需要还 可能创建其他一些子进程。 （4）回到等待状态，继续接受其他客户进程发来的请求。主进程与从属进程的处理是并发地进行。 FTP的工作情况如图所示。图中的椭圆表示在系统中运行的进程。图中的服务器端有两个从属进程：控制进程和数据传送进程。为简单起见，服务器端的主进程没有画上。在客户端除了控制进程和数据传送进程外，还有一个用户界面进程用来和用户接口。 当客户进程向服务器进程发出建立连接请求时，要寻找连接服务器进程的熟知端口(21)，同时还要告诉服务器进程自己的另一个端口号码，用于建立数据传送连接。接着，服务器进程用自己传送数据的熟知端口(20)与客户进程所提供的端口号码建立数据传送连接。由于 FTP 使用了两个不同的端口号，所以数据连接与控制连接不会发生混乱。 三、FTP安全性缺陷分析 1、明文口令 由于TCP/IP协议族的设计在相互信任和安全的基础上的，FTP的设计也没有采用加密传送，FTP客户与服务器之前所有的数据传送都是通过明文的方式，当然也包括了口令。 自从有了交换环境下的数据监听技术之后，这种明文传送就变得十分危险，因为别人可能从传输过程过捕获一些敏感的信息，如用户名和口令等。像HTTPS和SSH都采用加密解决了这一问题。而FTP仍然是明文传送, 而像UINX和LINUX这类系统的ftp 账号通常就是系统帐号。这样黑客就可以通过捕获FTP的用户名和口令来取得系统的帐号，如果该帐号可以远程登录的话, 通常采用本地溢出来获得root权限。这样该FTP服务器就被黑客控制了 2、易遭受穷举攻击 破解FTP口令必须首先获得对方的用户名，而获得对方的用户名的方法有很多种，例如可以使用社会工程学来骗取用户名，或者使用Finger命令来得到用户名，甚至可以猜测对方的用户名。 在获得对方的用户名后，就可以开始对密码进行破解了。不管你通过什么途径得到了系统的用户名，破解密码的过程都是穷举密码的过程，而穷举密码的过程说通俗了就是使用不同的密码进行登陆，直到试出正确的密码 3、任意用户均可登陆FTP服务器 由于FTP协议的特点，互联网上的任意用户均可登陆FTP服务器，某个非法用户在获得FTP服务器的用户名和密码后，如果用户能够向FTP服务器传送文件，那么非法用户可以向FTP服务器发送大量的没有的文件，造成FTP服务器工作的瘫痪。 四、相关问题的改进策略 （1）利用IP地址过滤技术对客户端的IP地址进行过滤 我们可以事先在FTP服务器端设置一个IP地址过滤插件，FTP服务器端可以在这个过滤中对可以允许和拒绝访问的IP地址进行设置，来设置客户端的访问权限。 某个客户端（客户端的IP地址是46）对FTP服务器进行访问时，首先要在浏览器的地址中输入FTP服务器的IP地址，例如，如果客户端对FTP服务器进行访问，那么