北邮计网读书笔记.docxVIP

信息与通信工程学院 计算机通信与网络 RFC2577 FTP(安全考虑)读书笔记 专业 班级 姓名 学号 这篇备忘录是对文本传输协议（FTP :File Transfer Protocol）的说明。这篇文章包括了一些用来缓解网络安全问题的机制。这个文本传输协议（FTP）可以使得用户指令一台服务器传输文件到第三方。这种三方的机制，我们称之为代理FTP，而这种文件传输协议规范（FTP）提供了一种允许客户端建立FTP控制连接并在两台FTP服务器间传输文件的机制。这种代理FTP机制可以用来减少网络的流量，客户端命令一台服务器传输文件给另一台服务器，而不是从第一台服务器传输文件给客户端，然后从客户端再传输给第二台服务器。当客户端连接到网络的速度特别慢时，这是非常有用的。而它也产生了一个众所周知的安全问题。本文档给系统管理员和那些使用FTP服务器的人提供了一些建议来减少跟FTP有关的安全问题。 首先，先说说本文所涉及的一些安全问题。所设计的问题有：跳转攻击、强力密码猜测攻击、端口盗用。 跳转攻击： 攻击者发送一个FTPPORT命令给目标FTP服务器，其中包含该主机的网 络地址和被攻击的服务的端口号。这样，客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令（如SMTP,NNTP等）。由于是命令第三方去连接到一种服务，而不是直接连接，就使得跟踪攻击者变得困难，并且还避开了基于网络地址的访问限制。例如，客户端上载包含SMTP命令的报文到FTP服务器。然后，使用正确的PORT命令，客户端命令服务器打开一个连接给第三方机器的SMTP端口。最后，客户端命令服务器传输刚才上载的包含SMTP命令的报文给第三方机器。这就使得客户端不建立任何直接的连接而在第三方机器上伪造邮件，并且很难跟踪到这个攻击者。 2、强力密码猜测攻击： 攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限，这是极其危险的。 3、端口盗用： 通过合法的传输，攻击者能够观察当前由服务器端分配的端口号，并“猜”出下一个即将使用的端口号。攻击者可以与这个端口建立连接，然后就剥夺了下一个合法用户进行传输的能力。或者，攻击者可以盗取给合法用户的文件。另外，攻击者还可能在从授权用户发出的数据流中插入伪造的文件。 4、用户名的盗用： “USER”命令中的用户名被拒绝时，在FTP标准中定义了相应的返回码530。 而当用户名是有效的但却需要密码，FTP将使用返回码331。攻击者利用USER命令始终返回331，来确定一个用户名是否有效。 而RFC2577则提出了几点有关上述安全问题的建议。 对于十分著名的跳转攻击我们可以让服务器最好不要打开数据链接到小于1024的TCP端口号。或者禁止使用PORT命令也是避免跳转攻击的一种方法。大多数文件传输可以仅通过PASV命令来实现。但这样做的缺点就是丧失了使用代理FTP的能力，当然代理FTP并不是在所有场合都需要的。 而对于密码的保护，为了减少通过FTP服务器进行强力密码猜测攻击的风险，建议服务器限制尝试发送正确的密码的次数。在几次尝试后，服务器应该结束和该客户的控制连接。在结束控制连接以前，服务器必须给客户端发送一个返回码421（“服务??可用，关闭控制连接”。另外，服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效性。若可能的话，目标操作系统提供的机制可以用来完成上述建议。攻击者可能通过与服务器建立多个、并行的控制连接破坏上述的机制。为了搏击多个并行控制连接的使用，服务器可以限制控制连接的最大数目，或探查会话中的可疑行为并在以后拒绝该站点的连接请求。然而上述两种措施又引入了“服务否决”攻击，攻击者可以故意的禁止有效用户的访问。 至于端口盗用，通过使FTP客户和服务器随机的给数据连接分配端口号，或者要求操作系统随机分配端口号，或者使用与系统无关的机制都可以减少端口盗用的发生。 最后来说说保护用户名，建议服务器对USER命令始终返回331，然后拒绝 对无效用户名合并用户名和密码。