版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
FTP协议的安全性问题
及解决办法一、概述FTP协议是网络中常用的协议之一,用于用户间的文件传输。由于FTP协议在设计时是建立在一个相互信任的平台上,但在网络安全威胁越来越严重的今天,FTP协议的安全性问题也越来越严重。文章重点分析了FTP协议只使用用户名和密码进行登陆、用明文传输用户名和密码以及任意用户都可登陆FTP服务器的特点造成的安全性问题,并且提出了相应的改进措施。二、FTP的基本工作原理FTP即文件传输协议。文件传输协议使得主机间可以共享文件。FTP使用TCP生成一个虚拟连接用于控制信息,然后再生成一个单独的TCP连接用于数据传输。控制连接使用类似TELNET协议在主机间交换命令和消息。文件传输协议是TCP/IP网络上两台计算机传送文件的协议,FTP是在TCP/IP网络和INTERNET上最早使用的协议之一,它属于网络协议组的应用层。FTP客户机可以给服务器发出命令来下载文件,上传文件,创建或改变服务器上的目录。文件传送协议FTP只提供文件传送的一些基本的服务,它使用TCP可靠的运输服务。FTP的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。FTP的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。FTP使用客户服务器方式。一个FTP服务器进程可同时为多个客户进程提供服务。FTP的服务器进程由两大部分组成:一个主进程,负责接受新的请求;另外有若干个从属进程,负责处理单个请求。主进程的工作步骤如下:(1)打开熟知端口(端口号为21),使客户进程能够连接上。(2)等待客户进程发出连接请求。(3)启动从属进程来处理客户进程发来的请求。从属进程对客户进程的请求处理完毕后即终止,但从属进程在运行期间根据需要还可能创建其他一些子进程。(4)回到等待状态,继续接受其他客户进程发来的请求。主进程与从属进程的处理是并发地进行。FTP的工作情况如图所示。图中的椭圆表示在系统中运行的进程。图中的服务器端有两个从属进程:控制进程和数据传送进程。为简单起见,服务器端的主进程没有画上。在客户端除了控制进程和数据传送进程外,还有一个用户界面进程用来和用户接口。
当客户进程向服务器进程发出建立连接请求时,要寻找连接服务器进程的熟知端口(21),同时还要告诉服务器进程自己的另一个端口号码,用于建立数据传送连接。接着,服务器进程用自己传送数据的熟知端口(20)与客户进程所提供的端口号码建立数据传送连接。由于FTP使用了两个不同的端口号,所以数据连接与控制连接不会发生混乱。三、FTP安全性缺陷分析1、明文口令由于TCP/IP协议族的设计在相互信任和安全的基础上的,FTP的设计也没有采用加密传送,FTP客户与服务器之前所有的数据传送都是通过明文的方式,当然也包括了口令。自从有了交换环境下的数据监听技术之后,这种明文传送就变得十分危险,因为别人可能从传输过程过捕获一些敏感的信息,如用户名和口令等。像HTTPS和SSH都采用加密解决了这一问题。而FTP仍然是明文传送,而像UINX和LINUX这类系统的ftp账号通常就是系统帐号。这样黑客就可以通过捕获FTP的用户名和口令来取得系统的帐号,如果该帐号可以远程登录的话,通常采用本地溢出来获得root权限。这样该FTP服务器就被黑客控制了2、易遭受穷举攻击破解FTP口令必须首先获得对方的用户名,而获得对方的用户名的方法有很多种,例如可以使用社会工程学来骗取用户名,或者使用Finger命令来得到用户名,甚至可以猜测对方的用户名。在获得对方的用户名后,就可以开始对密码进行破解了。不管你通过什么途径得到了系统的用户名,破解密码的过程都是穷举密码的过程,而穷举密码的过程说通俗了就是使用不同的密码进行登陆,直到试出正确的密码3、任意用户均可登陆FTP服务器由于FTP协议的特点,互联网上的任意用户均可登陆FTP服务器,某个非法用户在获得FTP服务器的用户名和密码后,如果用户能够向FTP服务器传送文件,那么非法用户可以向FTP服务器发送大量的没有的文件,造成FTP服务器工作的瘫痪。四、相关问题的改进策略(1)利用IP地址过滤技术对客户端的IP地址进行过滤我们可以事先在FTP服务器端设置一个IP地址过滤插件,FTP服务器端可以在这个过滤中对可以允许和拒绝访问的IP地址进行设置,来设置客户端的访问权限。某个客户端(客户端的IP地址是46)对FTP服务器进行访问时,首先要在浏览器的地址中输入FTP服务器的IP地址,例如,如果客户端对FTP服务器进行访问,那么FTP服务器在要求客户端输入用户名和密码之前,会对客户端的IP地址进行过滤分析,如果FTP服务器在自己的IP地址过滤插件中将IP地址46设置为拒绝访问,则FTP服务器会拒绝客户端对FTP服务器进行访问,否则允许访问。(2)利用验证码技术对客户端的身份进行认证与传统的“用户名+密码”的二元认证方式相比,“用户名、密码和验证码认证”方式除要求用户输入用户名和密码之外,还要求手工输入随机生成的验证码,有助于防止自动化的程序填写登陆;同时限制错误登录次数和使用“扩展动态密码”,密码错误超过限制次数,即封锁登陆者IP或ID,以降低恶意程序访问服务器的频率。页面中的验证码为数字或字符,用图形显示,每个验证码对应的图形不止一种,以防止非法程序的分析破解。其中验证码是由FTP服务器生成的,之后是以图片的形式下载至浏览器页面进行显示的。客户端登陆时需要输入一组用户名、密码和生成的验证码。如果用户的验证码输入错误,则服务器会提示用户重新输入,同时验证码更新,这样可以防止攻击者的暴力破解。如果客户端输入次数过多,FTP服务器则认为该客户端不具有访问权,页面会自动关闭。为防止攻击者通过数据流获取图片信息,每次图片生成时为图片加入随机元素。(3)针对用户名和密码的加密客观端在登陆FTP服务器端时使用的用户名和密码由FTP服务器所提供。如果某个客户端在输入用户名和密码时后,采用FTP服务器提供的公钥进行加密,用户名和密码在信道中以密文的形式进行传输,FTP服务器端在获得该客户端传送的信息后,用自己的私钥进行解密,如果解密的结果和服务器设置的用户名和密码相符合,则FTP服务器端允许客观登陆,否则会提示客户端不能进行登陆,并且要求客观端重新输入用户名和密码。那么,某个攻击者在信道上获得合法的客观端向服务器发送的密文信息,但是该攻击者无法对获得的密文进行解密,所以攻击者无法获得正确的用户名和密码。具体的工作过
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 卫生院绩效考核自查报告
- 学校作业校内公示制度
- 我最喜欢的声音作文
- 安徽省淮北市西园2024-2025学年七年级上学期期中考试语文试卷(含答案)
- 《环保主题班会课件》课件
- 《GSM信令流程》课件
- 幼儿园课件教学下载
- 《平面机构及》课件
- 《电商团队培训课件》课件
- 河北省衡水中学2024-2025学年高二上学期期中综合素质评价化学试题 (无答案)
- 2024年江苏省苏州市中考语文试卷
- 车辆工程基础知识单选题100道及答案解析
- 2024-2030年中国天然蜂蜜市场竞争状况与盈利前景预测报告
- 文书模板-《企业防静电方案》
- 油气田开发工程车辆租赁合同
- 中国厨房电器行业消费态势及销售状况分析研究报告(2024-2030版)
- SL-T+62-2020水工建筑物水泥灌浆施工技术规范
- 除颤技术(除颤仪的使用)
- 反吊膜施工安全方案
- 思想道德与法治 第三章
- IE 标准工时(完整版)
评论
0/150
提交评论