【正文】 成的。 這些端口號(hào)介于 1到 1023 之間，一些應(yīng)用程序 將它作為客戶與服務(wù)器之間身份認(rèn)證的一部分。 運(yùn)行的程序 只需 向系統(tǒng)提出訪問(wèn)網(wǎng)絡(luò)的申請(qǐng)，系統(tǒng)就 能夠 從 分配一個(gè) 端口號(hào) 供該程序使用。 TCP 端口可以歸為 3類(lèi)： 1） 眾所周知 端口（ WellKnown Ports） 眾所周知 端口即 知名 的端口號(hào)，范圍從 0 到 1023，這些端口號(hào)一般固定 的 分配給 某 些服務(wù)。 TCP 使用端口號(hào)來(lái)標(biāo)識(shí)所發(fā)送和接收的應(yīng)用，端口號(hào)可以幫助 TCP 來(lái)分離字節(jié)流并且?guī)拖鄳?yīng)字節(jié)傳遞給正確的應(yīng)用程序。 文獻(xiàn)綜述 本人 在 CNKI、維普數(shù)據(jù)庫(kù)中 查找了很多關(guān)于 FTP 協(xié)議分析及擴(kuò)展 相關(guān)的文章， 目前關(guān)于 FTP 協(xié)議及擴(kuò)展 的研究，國(guó)內(nèi)外都已經(jīng)比較成熟，但是還有很多地方需要繼續(xù)研究改進(jìn)。本 論 文的目的主要 是 通過(guò)闡述 ftp 的 基本 理論 和知識(shí) 來(lái) 消除 大家 對(duì) FTP 的錯(cuò)誤認(rèn)識(shí)。但是在國(guó)際互聯(lián)網(wǎng)上如此繁盛的今天， FTP 顯現(xiàn)出了自身存在的問(wèn)題，無(wú)法安全的傳輸比較重要的資料。 FTP 在今天的網(wǎng)絡(luò)模式中，特別是在國(guó)際互聯(lián)網(wǎng)絡(luò)中的應(yīng)用存在較為嚴(yán)重的安全問(wèn)題 ,但是隨著ssl 和 sshFTPftp 服務(wù)中的應(yīng)用和自身的不斷完善，使得 FTP 服務(wù)的安全性得到了很大的提高，可靠性得到了增強(qiáng)， FTP 也隨之發(fā)展到一個(gè)新的高度。 【 關(guān)鍵詞】 FTP 協(xié)議 分析 擴(kuò)展 Analysis And Extension of FTP Protocol 【 Abstract】 The purpose of this thesis paper is to describe the theory of FTP and to eliminate the mistakes people tend to make with it. In today39。很多人就開(kāi)始對(duì) FTP 失去了信心，認(rèn)為 FTP 已經(jīng)走到盡頭了 。 FTP 是一種 專(zhuān)門(mén) 為當(dāng)時(shí)相對(duì) 而言比較 封閉 的互聯(lián)網(wǎng) 使用而設(shè)計(jì)的傳輸文件 協(xié)議。比如 如何克服無(wú)法驗(yàn)證自身身份的缺點(diǎn)。 TCP 端口號(hào)可以是半永久的和暫時(shí)的。 例 如 ： 21端口分配給 FTP服務(wù)， 25 端口分配給 SMTP（簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)， 80 端口分配給 HTTP 服務(wù) 等。 這里要注意的是 ,動(dòng)態(tài)端口常常被 黑額 程序所利用 。 已經(jīng) 注冊(cè) 了的端口號(hào)原本決定分配 只給注冊(cè)的應(yīng)用 去使用，但是 近 些年來(lái)端口號(hào)已經(jīng)陷入到了瓶頸，也許會(huì)看到原本應(yīng)該是分配給 注冊(cè)應(yīng)用使用的注冊(cè)端口 卻被沒(méi)有注冊(cè)應(yīng)用給用 做 成了臨時(shí) 的端口。 1，控制連接，主要是用于發(fā)送控制命令 2，數(shù)據(jù)連接，主要用于文件上傳和下載時(shí)文件數(shù)據(jù)的傳輸 . ftp 協(xié)議的建立流程： 首先，客戶端建立一個(gè)套接字 1，套接字綁定的 IP 和端口為 ftp 服務(wù)器的 ip 和著名端口 1 建立時(shí)應(yīng)該是面向連接的。 c) 當(dāng)與遠(yuǎn)程主機(jī)或者對(duì)方的個(gè)人電腦建立連接后 ,用對(duì)方提供的用戶名和口令登陸到該主機(jī)或?qū)Ψ降膫€(gè)人電腦 。 tcp 分析 ① TCP（ Transmission Control Protocol） ： 中文全稱 傳輸控制協(xié)議 。另 外，在傳輸?shù)倪^(guò)程中，如果接收到無(wú)序、丟失以及被破壞的數(shù)據(jù)包， TCP 還可以負(fù)責(zé)恢復(fù)。 a)應(yīng)用層：應(yīng)用程序間溝通的層，如電子郵件傳輸（ SMTP）、文件傳輸協(xié)議（ FTP）、網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)協(xié)議（ Tel）等。 ftp 與 tftp 分析 TFTP（ Trivial File Transfer Protocol,簡(jiǎn)單文件傳輸協(xié)議）是 TCP/IP協(xié)議 族中的一個(gè)用來(lái)在客戶機(jī)與服務(wù)器之間進(jìn)行簡(jiǎn)單文件傳輸?shù)膮f(xié)議，提供不復(fù)雜、開(kāi)銷(xiāo)不大的文件傳輸服務(wù)。因此它不具備通常的 FTP 的許多功能，它只能從文件服務(wù)器上獲得或?qū)懭胛募?，不能列出目錄，不進(jìn)行認(rèn)證，它傳輸 8 位數(shù)據(jù)。每個(gè)數(shù)據(jù)包包括一塊數(shù)據(jù)，服務(wù)器發(fā)出下一個(gè)數(shù)據(jù)包以前必須得到客戶對(duì)上一個(gè)數(shù)據(jù)包的確認(rèn)。大部分的錯(cuò)誤會(huì)導(dǎo)致連接中斷，錯(cuò)誤由一個(gè)錯(cuò)誤的數(shù)據(jù)包引起。 TFTP 只在一種情況下不中斷連接，這種情況是源端口不正確，在這種情況下，指示錯(cuò)誤的包會(huì)被發(fā)送到源機(jī)。 TFTP 在 IP頭中不指定任何數(shù)據(jù)，但是它使用 UDP 中的源和目標(biāo)端口以及包長(zhǎng)度域。 | Local Medium | Inter | Datagram | TFTP | 初始連接 初始連接時(shí)候需要發(fā)出 WRQ（請(qǐng)求寫(xiě)入遠(yuǎn)程系統(tǒng)）或 RRQ（請(qǐng)求讀取遠(yuǎn)程系統(tǒng)），收到一個(gè)確定應(yīng)答，一個(gè)確定可以寫(xiě)出的包或應(yīng)該讀取的第一塊數(shù)據(jù)。創(chuàng)建連接時(shí)，通信雙方隨機(jī)選擇一個(gè) TID，因此是隨機(jī)選擇的，因此兩次選擇同一個(gè) ID的可能性就很小了。這兩個(gè)被選擇的 ID在隨后的通信中會(huì)被 一直使用。如果源 ID 與原來(lái)確定的 ID 不一樣，這個(gè)包會(huì)被7 認(rèn)識(shí)為發(fā)送到了錯(cuò)誤的地址而被拋棄。當(dāng)這兩個(gè)應(yīng)答其中之一被接收到時(shí)，連接已經(jīng)建立。文件名是 NETASCII碼字符，以 0 結(jié)束。假設(shè)每個(gè)機(jī)器都存在一個(gè) 8位的格式，這樣的假設(shè)是最一般的。如果使用 MAIL 類(lèi)型，包必須以 WRQ 開(kāi)始，否則它與 NETASCII完全一樣。在這兩種情況下，我們看到了兩臺(tái)機(jī)器使用不同格式的情況。數(shù)據(jù)塊號(hào)域從 1 開(kāi)始編碼，每個(gè)數(shù)據(jù)塊加 1，這樣接收方可以確定這個(gè)包是新數(shù)據(jù)還是已經(jīng)接收過(guò)的數(shù)據(jù)。發(fā)出新的數(shù)據(jù)包等于確認(rèn)上次的包。 2 bytes 2 bytes | Opcode | Block | Figure 53: ACK 包 WRQ 數(shù)據(jù)包被 ACK 數(shù)據(jù)包確認(rèn)， WRQ 數(shù)據(jù)包的包號(hào)為 0。錯(cuò)誤的值和錯(cuò)誤的意義在附錄中。接收方在發(fā)出對(duì)最后數(shù)據(jù)包的確認(rèn)后可以斷開(kāi)連接， 當(dāng)然，適當(dāng)?shù)牡却潜容^好的，如果最后的確定包丟失可以再次傳輸。如果發(fā)送方超時(shí)并不準(zhǔn)備重新發(fā)送并且接收方有問(wèn)題或網(wǎng)絡(luò)有問(wèn)題時(shí)，發(fā)送也正常結(jié)束。因此 需要用超時(shí)來(lái)偵測(cè)錯(cuò)誤。 TFTP 允許僅單向傳輸?shù)奈募? TFTP 用于 UDP 端口號(hào) 69 其文件傳輸活動(dòng)。 ⑥ 簡(jiǎn)單文件傳送協(xié)議 TFTP(Trivial File Transfer Protocol)是一個(gè) TCP/IP 協(xié)議族中一個(gè)很小且易于實(shí)現(xiàn)的文件傳送協(xié)議。 （ 3）支持 ASCII 碼或二進(jìn)制傳送。 TFTP 的工作很像停止等待協(xié)議。這樣就可保證文件的傳送不致因某一個(gè)數(shù)據(jù)報(bào)的丟失而告失敗。 FTP 模式分析 當(dāng) 對(duì)一個(gè) FTP 問(wèn)題進(jìn)行排錯(cuò)時(shí)候， 首先要問(wèn)的一個(gè)問(wèn)題是使用的是 port 模式的還是passive 模式。“標(biāo)準(zhǔn)”模式 FTP 客戶端會(huì)向 FTP 服務(wù)器發(fā)送 PORT 命令?？蛻暨x擇大于 1024的端口發(fā)起連接，此連接會(huì)建立 FTP 命令通道。 FTP 的主動(dòng)模式 (Port 模式 ) 主動(dòng)模式 在主動(dòng)模式中， FTP 服務(wù)器綁定了兩個(gè)端口： 21 和 20 （這兩個(gè)端口是默認(rèn)值，可以設(shè)成別的端口）。但要注意，并不是客 戶端主動(dòng)連接服務(wù)端的 20 端口，而是在客戶端創(chuàng)建一個(gè)使用匿名端口的服務(wù)端連接（在 Java 中就是創(chuàng)建一個(gè) ServerSocket 對(duì)象，并且綁定端口是 0）。 圖 主動(dòng)模式的工作原理 從上圖可以看出，在主動(dòng)模式中，在傳送命令和數(shù)據(jù)時(shí)，建立連接的過(guò)程是相反的。如客戶端通過(guò)代理上網(wǎng)，而且未做端口映射。它們的區(qū)別就在于數(shù)據(jù)的傳輸上。如 下 圖 描述了被動(dòng)模式的工作原理。因此，如果可能的話，最好還是采用主動(dòng)模式。 (1) 沒(méi)有良好的 PKI 體系支撐，很多 ftp server 的證書(shū)合法性無(wú)法得到驗(yàn)證，可能存在無(wú)法信任或被偽造的可能； (2) 由于 Explicit SSL 模式的歷史兼容問(wèn)題， AUTH 指令和 USER/PASS 指令序列的優(yōu)先級(jí)沒(méi)有明確約定，可能存在指令序列錯(cuò)誤造成信息泄露的問(wèn)題； (3) 由于 SSL 自身體系的一些問(wèn)題，可能受到證書(shū)泄露，偽造 或 SSL 中間人攻擊 。 ftp SSL/TLS Extension 就是其中一種方式。 對(duì)應(yīng)于 SSL 所提供的兩種安全特性，機(jī)密性和保密性， ssl 定義了四個(gè)安全級(jí)別，分別是這兩種特性的狀態(tài)組合 : 39。 Safe 完整性實(shí)現(xiàn)，但是沒(méi)有機(jī)密性 39。 Private 同時(shí)實(shí)現(xiàn)機(jī)密性和完整性 ftp 的 ssl 擴(kuò)展使用了其中的兩種狀態(tài) 1)Clear (requested by 39。) Ftp 服務(wù)器搭建 Ftp 服務(wù)示意圖 18 圖 Ftp 服務(wù)示意 在一個(gè)典型的 FTP 會(huì)話中，用戶坐在本地主機(jī)前，想把文件傳送到一臺(tái)遠(yuǎn)程主機(jī)或把它們從一臺(tái)遠(yuǎn)程主機(jī)傳送來(lái)。他首先提供一個(gè)遠(yuǎn)程主機(jī)的主機(jī)名，這使得本地主機(jī)中的 FTP 客戶進(jìn)程建立一個(gè)與遠(yuǎn)程主機(jī)中的 FTP 服務(wù)器進(jìn)程之間的連接。不過(guò)這兩個(gè)應(yīng)用層協(xié)議之間存在重要的差別。既然 TCP 使用一個(gè)獨(dú)立的控制連接，我們說(shuō) FTP 在帶外 (outofband)發(fā)送控制信息的。 下面 展示了 FTP的控制連接和數(shù)據(jù)連接。用戶執(zhí)行的一些命令也由客戶經(jīng)由控制連接發(fā)送給服務(wù)器，例如改變遠(yuǎn)程目錄的命令。 在整個(gè)會(huì)話期間， FTP 服務(wù)器必須維護(hù)關(guān)于用戶的狀態(tài)。 Ftp 服務(wù)器的安裝 Ftp 服務(wù)器的安裝是一個(gè)非常簡(jiǎn)單的事情，這里以 servu為例。而一般用戶除了能夠共享公用資料外，還能夠有自己私人的資料空間，這個(gè)空間是匿名用戶和其他 一般用戶不能 訪問(wèn)的。 圖表 操作權(quán)限 24 管理權(quán)限有 :無(wú)權(quán)限，域管理員，系統(tǒng)管理員；密碼類(lèi)型有常規(guī)密碼， OTP S/KEY MD4,OTP S/KEY MD5 三種類(lèi)型；管理權(quán)限和密碼類(lèi)型的設(shè)置在一定程度上影響 FTP 服務(wù)器的安全級(jí)別，所以在設(shè)置時(shí)要注意。 其他設(shè)置： (1)限制和設(shè)置： 26 圖 限制和設(shè)置 (3)傳輸率和配額 圖 傳輸率和配 額 安全設(shè)置： ftp 擴(kuò)展 ssl、 ssh 能很好的增強(qiáng) ftp 在傳輸中的安全度，所以此項(xiàng)安全設(shè)置十分重要。 if(pExGetErrorMessage(szError,1024)) AfxMessageBox(szError)。 return。m_arrRemoteFiles)。 int nIndex = 0。 //查找目錄下的文件 BOOL res = pFinderFindFile(szDir)。 !pFinderIsDots()) { 31 FILEITEM fileitem。 pFilesArrAdd(fileitem)。 !pFinderIsDots()) { FILEITEM fileitem。 pFilesArrAdd(fileitem)。但是由于 很多人為了是 FTP 協(xié)議更加安全進(jìn)行了不懈的努力 ， 補(bǔ)充了 ftp 自身的安全擴(kuò)展，使用 SSL/TLS 進(jìn)行 ftp 傳輸過(guò)程的驗(yàn)證和加密，實(shí)現(xiàn)了與傳統(tǒng) ftp 協(xié)議的兼容性和優(yōu)良的數(shù)據(jù)保密性與完整性。 在不完整的 CA 或 PKI 體系下，只能夠采用自簽名證書(shū)，這時(shí) SSL ftp 得到的安全性提高僅僅是通訊過(guò)程加密，并無(wú)法完成身份認(rèn)證的功能。 ，安裝殺毒軟件和防火墻，開(kāi)放相應(yīng)端口。 try { //新建連接對(duì)象 m_pFtpConnection=m_pISessionGetFtpConnection(m_strServer,m_strUserName, m_strPassword)。 pExDelete()。 //獲得服務(wù)器根目錄的所有文件并在列表框中顯示 BrowseDir(,amp。* pFilesArr) { //清空列表框 pLstCtrlDeleteAllItems()。 if((1) != \\) szDir