在我們的TCP IP協(xié)議進(jìn)行傳輸管理的時候，它的協(xié)議集中的許多協(xié)議都存在著或多或少的安全問題?，F(xiàn)在我們就來說一下FTP文件傳輸協(xié)議有關(guān)的安全問題，在這之中希望大家能將這方面的原理弄清楚。

1. FTP Port模式

FTP Port模式會給網(wǎng)絡(luò)管理人員在許多方面帶來很多問題,首先,在PORT命令消息中的IP地址和端口號的編碼不是直白地顯示｡另外,應(yīng)用層的協(xié)議命令理論 上不應(yīng)該包含網(wǎng)絡(luò)地址信息(注:IP地址),因為這打破了協(xié)議層的原則并且可能導(dǎo)致協(xié)同性和安全性方面的問題｡

2. 用戶名和口令的明文傳輸

FTP文件傳輸協(xié)議的另一個聲名狼藉的問題是它以明文方式發(fā)送用戶名和口令,也就是不加密地發(fā)送｡任何人只要在網(wǎng)絡(luò)中合適的位置放置一個協(xié)議分析儀就可以看到用戶名和 口令;FTP發(fā)送的數(shù)據(jù)也是以明文方式傳輸,通過對FTP連接的監(jiān)控和數(shù)據(jù)收集就可以收集和重現(xiàn)FTP的數(shù)據(jù)傳輸并實(shí)現(xiàn)協(xié)議連接回放｡事實(shí)上很多用戶把相 同的用戶名和口令用在不同的應(yīng)用中,這樣這個問題可能看起來更為糟糕;如果黑客收集到FTP口令,他們也可能就得到了你在線帳號或者其他一些機(jī)密數(shù)據(jù)的口令｡

3.TCP層的工作

FTP文件傳輸協(xié)議是基于tcp,要保證FTP的可靠傳輸,tcp就要做到建立有連接的比特流,把用戶數(shù)據(jù)分成數(shù)據(jù)段,在發(fā)送數(shù)據(jù)時設(shè)置計時器(用來超時重傳),還要對對方傳來的數(shù)據(jù)進(jìn)行確認(rèn)(確認(rèn)信息可以攜帶在數(shù)據(jù)包上),并把收到的數(shù)據(jù)重新排序,丟棄重復(fù)的數(shù)據(jù)包,提供端到端的流量控制(tcp的滑動窗口協(xié)議以有效的傳輸批量數(shù)據(jù)),計算并檢驗端到端的校驗和｡

4.IP層的工作

IP層確定路徑(三種路徑:主機(jī)路徑,網(wǎng)絡(luò)路徑和缺省路徑),在確定路徑的同時由ICMP來報告錯誤信息和其他應(yīng)注意的情況｡

5.數(shù)據(jù)鏈路層的工作

通過查找ARP表找出目的主機(jī)的MAC地址｡如未找到,通過ARP請求/應(yīng)答報文學(xué)到目的主機(jī)MAC地址｡

6.物理層的工作

在通信信道上傳輸原始的比特流｡

下面用一個具體例子說明這一過程。

上圖為由三個以太網(wǎng)(SUN,MOON,WATER)和一臺路由器(ROUTE)相連.他們的IP地址前兩位都為10.0。

假設(shè)E為FTP文件傳輸協(xié)議的服務(wù)器，A作為FTP客戶端訪問E。