FTP的两种工作模式.doc

FTP的两种工作模式（主动模式与被动模式） 2009-09-01 18:06:31标签：FTP 主动 被动推送到技术圈 ftp是基于tcp的服务，ftp使用2个端口，一个数据端口和一个命令端口（也叫做控制端口）。通常命令端口是21，数据端口是20。 主动ftp主动模式的ftp是这样的；客户端从一个任意的非特权端口n（n1024）连接到ftp服务器的命令端口（21），然后客户端开始监听端口n+1，并发送ftp命令“port n+1”到ftp服务器。服务器从它自己的数据端口20连接到客户端指定的数据端口n+1。 针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP：1. 任何端口到FTP服务器的21端口 （客户端初始化的连接 SC） 3. FTP服务器的20端口到大于1024的端口（服务器端初始化数据连接到客户端的数据端口 S-C） 4. 大于1024端口到FTP服务器的20端口（客户端发送ACK响应到服务器的数据端口 S 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。 对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP: 1. 从任何端口到服务器的21端口 （客户端初始化的连接 SC） 3. 从任何端口到服务器的大于1024端口 （入；客户端初始化数据连接到服务器指定的任意端口 SC） 在第1步中，客户端的命令端口与服务器的命令端口建立连接，并发送命令“PASV”。然后在第2步中，服务器返回命令PORT 2024，告诉客户端（服务器）用哪个端口侦听数据连接。在第3步中，客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个ACK响应。 被动方式的FTP解决了客户端的许多问题，但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是，许多FTP守护程序，包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围 第二个问题是客户端有的支持被动模式，有的不支持被动模式，必须考虑如何能支持这些客户端，以及为他们提供解决办法。例如，Solaris提供的FTP命令行工具就不支持被动模式，需要第三方的FTP客户端，比如ncftp。总结 下面的图表会帮助管理员们记住每种FTP方式是怎样工作的： 主动FTP： 命令连接：客户端 1024端口 - 服务器 21端口 数据连接：客户端 1024端口 1024端口 - 服务器 21端口 数据连接：客户端 1024端口 - 服务器 1024端口 下面是主动与被动FTP优缺点的简要总结： 主动FTP对FTP服务器的管理有利，但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。 幸运的是，有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接，那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样，不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险，但它大大减少了危险。本文出自 51CTO.COM技术博客FTP和FTP服务器简介 2007-07-28 00:18:20标签：FTP 服务器推送到技术圈 FTP（File Transfer Protocol）是文件传输协议的简称。 FTP的作用正如其名所示：FTP的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。 FTP工作原理拿下传文件为例，当你启动FTP从远程计算机拷贝文件时，你事实上启动了两个程序：一个本地机上的FTP客户程序：它向FTP服务器提出拷贝文件的请求。另一个是启动在远程计算机的上的FTP服务器程序，它响应你的请求把你指定的文件传送到你的计算机中。FTP采用“客户机/服务器”方式，用户端要在自己的本地计算机上安装FTP客户程序。FTP客户程序有字符界面和图形界面两种。字符界面的FTP的命令复杂、繁多。图形界面的FTP客户程序，操作上要简洁方便的多。简单地说，支持FTP协议的服务器就是FTP服务器，下面介绍一下什么是FTP协议（文件传输协议）一般来说，用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。Internet上早期实现传输文件，并不是一件容易的事，我们知道 Internet是一个非常复杂的计算机环境，有PC，有工作站，有MAC，有大型机，据统计连接在Internet上的计算机已有上千万台，而这些计算机可能运行不同的操作系统，有运行Unix的服务器，也有运行Dos、Windows的PC机和运行MacOS的苹果机等等，而各种操作系统之间的文件交流问题，需要建立一个统一的文件传输协议，这就是所谓的FTP。基于不同的操作系统有不同的FTP应用程序，而所有这些应用程序都遵守同一种协议，这样用户就可以把自己的文件传送给别人，或者从其它的用户环境中获得文件。与大多数Internet服务一样，FTP也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序，连接到在远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。比如说，用户发出一条命令，要求服务器向用户传送某一个文件的一份拷贝，服务器会响应这条命令，将指定文件送至用户的机器上。客户机程序代表用户接收到这个文件，将其存放在用户目录中。在FTP的使用当中，用户经常遇到两个概念：下载（Download）和上载（Upload）。下载文件就是从远程主机拷贝文件至自己的计算机上；上载文件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说，用户可通过客户机程序向（从）远程主机上载（下载）文件。使用FTP时必须首先登录，在远程主机上获得相应的权限以后，方可上载或下载文件。也就是说，要想同哪一台计算机传送文件，就必须具有哪一台计算机的适当授权。换言之，除非有用户ID和口令，否则便无法传送文件。这种情况违背了Internet的开放性，Internet上的FTP主机何止千万，不可能要求每个用户在每一台主机上都拥有帐号。匿名FTP就是为解决这个问题而产生的。匿名FTP是这样一种机制，用户可通过它连接到远程主机上，并从其下载文件，而无需成为其注册用户。系统管理员建立了一个特殊的用户ID，名为anonymous, Internet上的任何人在任何地方都可使用该用户ID。通过FTP程序连接匿名FTP主机的方式同连接普通FTP主机的方式差不多，只是在要求提供用户标识ID时必须输入anonymous，该用户ID的口令可以是任意的字符串。习惯上，用自己的E-mail地址作为口令，使系统维护程序能够记录下来谁在存取这些文件。值得注意的是，匿名FTP不适用于所有Internet主机，它只适用于那些提供了这项服务的主机。当远程主机提供匿名FTP服务时，会指定某些目录向公众开放，允许匿名存取。系统中的其余目录则处于隐匿状态。作为一种安全措施，大多数匿名FTP主机都允许用户从其下载文件，而不允许用户向其上载文件，也就是说，用户可将匿名FTP主机上的所有文件全部拷贝到自己的机器上，但不能将自己机器上的任何一个文件拷贝至匿名FTP主机上。即使有些匿名FTP主机确实允许用户上载文件，用户也只能将文件上载至某一指定上载目录中。随后，系统管理员会去检查这些文件，他会将这些文件移至另一个公共下载目录中，供其他用户下载，利用这种方式，远程主机的用户得到了保护，避免了有人上载有问题的文件，如带病毒的文件。作为一个Internet用户，可通过FTP在任何两台Internet主机之间拷贝文件。但是，实际上大多数人只有一个Internet帐户，FTP主要用于下载公共文件，例如共享软件、各公司技术支持文件等。 Internet上有成千上万台匿名FTP主机，这些主机上存放着数不清的文件，供用户免费拷贝。实际上，几乎所有类型的信息，所有类型的计算机程序都可以在Internet上找到。这是Internet吸引我们的重要原因之一。匿名FTP使用户有机会存取到世界上最大的信息库，这个信息库是日积月累起来的，并且还在不断增长，永不关闭，涉及到几乎所有主题。而且，这一切是免费的。匿名FTP是Internet网上发布软件的常用方法。Internet之所以能延续到今天，是因为人们使用通过标准协议提供标准服务的程序。像这样的程序，有许多就是通过匿名FTP发布的，任何人都可以存取它们。Internet中的有数目巨大的匿名FTP主机以及更多的文件，那么到底怎样才能知道某一特定文件位于哪个匿名FTP主机上的那个目录中呢？这正是Archie服务器所要完成的工作。Archie将自动在FTP主机中进行搜索，构造一个包含全部文件目录信息的数据库，使你可以直接找到所需文件的位置信息。FTP的主动被动和相关的防火墙设置 2009-08-07 09:01:29标签：FTP 防火墙 主动 被动推送到技术圈 FTP的主动被动和相关的防火墙设置ftp分为两大类：主动FTP，也就是一般的FTP被动FTP；主动FTP 主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N1024）连接到FTP服务器的命令端口，也就是21端口。然后客户端开始端口N+1，并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1）。针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP：1. 任何端口到FTP服务器的21端口 （客户端初始化的连接 SC）3. FTP服务器的20端口到大于1024的端口（服务器端初始化数据连接到客户端的数据端口 S-C）4. 大于1024端口到FTP服务器的20端口（客户端发送ACK响应到服务器的数据端口 S 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:1. 从任何端口到服务器的21端口 （客户端初始化的连接C-S）2. 服务器的21端口到任何大于1024的端口 （服务器响应到客户端的控制端口的连接 S-C）3. 从任何端口到服务器的大于1024端口 （入；客户端初始化数据连接到服务器指定的任意端口 SC）防火墙设置的例子建置一个防火墙下的FTP server，使用被动FTP(Port FTP) mode：FTP port:21 以及FTP data port 从9981 到9986。执行以下两行指令，只允许port 21 以及port 9981-9990 开放，其它关闭。iptables -A INPUT -p tcp -m multiport -dport 21,9981,9982,9983,9984,9985,9986,9987,9988,9989,9990 -j ACCEPTiptables -A INPUT -p tcp -j REJECT -reject-with tcp-resetFTP软件本身的设置以vsFTP为例子. 修改/etc/vsFTPd/vsFTPd.conf新增底下四行listen_port=21pasv_enable=YESpasv_min_port=9981pasv_max_port=9986设置错会出现的情况这个例子中，FTP client（如cuteFTP）的联机方式必须选择passive mode，否则无法建立数据的联机。也就是读者可以连上FTP server，但是执行ls,get 等等的指令时，便无法运作。最佳答案主动FTP 主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N1024）连接到FTP服务器的命令端口，也就是21端口。然后客户端开始监听端口N+1，并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1）。 针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP： 1. 任何端口到FTP服务器的21端口 （客户端初始化的连接 SC） 3. FTP服务器的20端口到大于1024的端口（服务器端初始化数据连接到客户端的数据端口 S-C） 4. 大于1024端口到FTP服务器的20端口（客户端发送ACK响应到服务器的数据端口 S USER slacker 331 Password required for slacker. Password: TmpPass - PASS XXXX 230 User slacker logged in. - SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp ls ftp: setsockopt (ignored): Permission denied - PORT 192,168,150,80,14,178 200 PORT command successful. - LIST 150 Opening ASCII mode data connection for file list. drwx- 3 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp quit - QUIT 221 Goodbye. 被动FTP 为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。 在被动方式FTP中，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P 1024），并发送PORTP命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。 对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP: 1. 从任何端口到服务器的21端口 （客户端初始化的连接 SC） 3. 从任何端口到服务器的大于1024端口 （入；客户端初始化数据连接到服务器指定的任意端口 SC） 画出来的话，被动方式的FTP连接过程大概是下图的样子： 在第1步中，客户端的命令端口与服务器的命令端口建立连接，并发送命令“PASV”。然后在第2步中，服务器返回命令PORT2024，告诉客户端（服务器）用哪个端口侦听数据连接。在第3步中，客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个ACK响应。 被动方式的FTP解决了客户端的许多问题，但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是，许多FTP守护程序，包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。 第二个问题是客户端有的支持被动模式，有的不支持被动模式，必须考虑如何能支持这些客户端，以及为他们提供解决办法。例如，Solaris提供的FTP命令行工具就不支持被动模式，需要第三方的FTP客户端，比如ncftp。 随着WWW的广泛流行，许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp:/这样的URL时才支持被动.?的配置。 被动FTP的例子 下面是一个被动FTP会话的实际例子，只是服务器名、IP地址和用户名都做了改动。在这个例子中，FTP会话从(0)，一个运行标准的FTP命令行客户端的Linux工作站，发起到(0)，一个运行ProFTPd1.2.2RC2的Linux工作站。debugging（-d）选项用来在FTP客户端显示连接的详细过程。红色的文字是debugging信息，显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示，用户的输入信息用粗体字表示。 注意此例中的PORT命令与主动FTP例子的不同。这里，我们看到是服务器(0)而不是客户端的一个端口被打开了。可以跟上面的主动FTP例子中的PORT命令格式对比一下。 testbox1: /home/p-t/slacker/public_html % ftp -d testbox2 Connected to . 220 FTP server ready. Name (testbox2:slacker): slacker - USER slacker 331 Password required for slacker. Password: TmpPass - PASS XXXX 230 User slacker logged in. - SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp passive Passive mode on. ftp ls ftp: setsockopt (ignored): Permission denied - PASV 227 Entering Passive Mode (192,168,150,90,195,149). - LIST 150 Opening ASCII mode data connection for file list drwx- 3 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp quit - QUIT 221 Goodbye. 总结 下面的图表会帮助管理员们记住每种FTP方式是怎样工作的： 主动FTP： 命令连接：客户端 1024端口 - 服务器 21端口 数据连接：客户端 1024端口 1024端口 - 服务器 21端口 数据连接：客户端 1024端口 - 服务器 1024端口 下面是主动与被动FTP优缺点的简要总结： 主动FTP对FTP服务器的管理有利，但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。 幸运的是，有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接，那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样，不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险，但它大大减少了危险。详细信息参看附录1。 参考资料 OReilly出版的组建Internet防火墙（第二版，Brent Chapman，Elizabeth Zwicky著）是一本很不错的参考资料。里面讲述了各种Internet协议如何工作，以及有关防火墙的例子。 最权威的FTP参考资料是RFC 959，它是FTP协议的官方规范。RFC的资料可以从许多网站上下载，例如：/documents/rfc/rfc0959.txt 。 Active FTP vs. Passive FTP, Appendix 1 关于ftp 动态链接 主动被动模式分析网友：debianarrow 发布于： 2007.03.15 10:54(共有条评论) 查看评论 | 我要评论FTP和TCP端口号根据是使用Port模式还是Passive模式，FTP使用不同的TCP端口号，在详细描述FTP前，我们来简单讨论一下TCP端口号的一些基本概念。TCP使用端口号来标识所发送和接收的应用，端口号可以帮助TCP来分离字节流并且帮相应字节传递给正确的应用程序。TCP端口号可以是半永久的和暂时的。服务器端监听在半永久的端口上来让客户端访问。客户端使用暂时的端口在本地标识一个对话，客户端端口只在使用TCP服务时候才存在，而服务器端口只要服务器在运行就一直在监听。TCP端口可以归为3类：1、众所周知的端口来标识在TCP上运行的标准服务，包括FTP、HTTP、TELNET、SMTP等，这些端口号码范围为0-1023；2、注册端口号用来标识那些已经向IANA（Internet Assigned Numbers Assigned NumbersAuthority）注册的应用，注册端口号为1024-49151；3、私有端口号是非注册的并且可以动态地分配给任何应用，私有端口为49152-65535；注册的端口号本来打算只给注册的应用使用，可近年来端口号已经陷入了到达极限的困境，你可能会看到本来应该是给注册应用使用的注册端口被非注册应用用做暂时的端口。RFC1700详细标注了众所周知的和注册的端口号，然而不幸的是，这个RFC文档自从1994年以来一直没有被更新，然后你仍可以从IANA得到一个及时更新的端口列表，详细URL为：/assignments/port-numbersFTP Port模式和FTP Passive模式当你对一个FTP问题进行排错时候，你首先要问的一个问题是使用的是port模式的还是passive模式。因为这两种行为迥异，所以这两种模式引起的问题也不同；在过去，客户端缺省为active(port)模式；近来，由于Port模式的安全问题，许多客户端的FTP应用缺省为Passive模式。2.1 FTP Port模式Port模式的FTP步骤如下：1、 客户端发送一个TCP SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口；2、 服务器端发送SYN ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；3、 客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答；4、 当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求，客户端软件使用PORT命令，这个命令包含了一个暂时的端口，客户端希望服务器在打开一个数据连接时候使用这个暂时端口；PORT命令也包含了一个IP地址，这个IP地址通常是客户自己的IP地址，而且FTP也支持第三方（third-party）模式，第三方模式是客户端告诉服务器端打开与另台主机的连接；5、 服务器端发送一个SYN包给客户端的暂时端口，源端口为20，暂时端口为客户端在PORT命令中发送给服务器端的暂时端口号；6、 客户端以源端口为暂时端口，目的端口为20发送一个SYN ACK包；7、 服务器端发送一个ACK包；8、 发送数据的主机以这个连接来发送数据，数据以TCP段(注：segment，第4层的PDU)形式发送（一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要对方进行ACK确认（注：因为TCP协议是一个面向连接的协议）9、 当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以ACK确认；10、 客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器同样也发送它的FIN，客户端用ACK来确认。下图图示了FTP PORT模式前几步步骤：/=| | ftp Client ftp Server | | (TCP:21 连接初始化,控制端口) | SYN | Port xxxx - Port 21 TCP | SYN+ACK | Port xxxxPort 21 | | (控制操作: 用户列目录或传输文件) | | Port, IP, Port yyyy | Port xxxxPort 21 | | | (TCP:20 连接初始化,数据端口) | SYN | Port yyyyPort 20 | ACK | Port yyyyPort 20 | . | . | . | |=/FTP Port模式会给网络管理人员在许多方面带来很多问题，首先，在PORT命令消息中的IP地址和端口号的编码不是直白地显示。另外，应用层的协议命令理论上不应该包含网络地址信息（注：IP地址），因为这打破了协议层的原则并且可能导致协同性和安全性方面的问题。下图是WildPackets EtherPeek协议分析仪解码了PORT命令的地址参数，地址参数后是端口号，见PORT192,168,10,232,6,127；6，127部分的第一个阿拉伯数字乘以256，然后加上第2个阿拉伯数字就得到端口号，所以客户端指定了端口号为6*256+127=1663；/=| IP Header - Internet Protocol Datagram | Version: 4 | Header Length: 5 (20 bytes) | | . | | Time To Live: 128 | Protocol: 6 TCP - Transmission Control Protocol | Header Checksum: 0xAA36 | Source IP Address: DEMO | Dest. IP Address: VI | No IP Options | | TCP - Transport Control Protocol | Source Port: 2342 manage-exec | Destination Port: 21 ftp | Sequence Number: 2435440100 | Ack Number: 9822605 | Offset: 5 (20 bytes) | Reserved: %000000 | Flags: %011000 | 0. . (No Urgent pointer) | .1 . Ack | . 1. Push | . .0. (No Reset) | . .0. (No SYN) | . .0 (No FIN) | | Window: 65150 | Checksum: 0x832A | Urgent Pointer: 0 | No TCP Options | | FTP Control - File Transfer Protocol | Line 1: PORT 192,168,0,1,9,39 | | FCS - Frame Check Sequence | FCS (Calculated): 0xF4C04A4F |=/下图验证了服务器端的确从端口20打开到端口1663的TCP连接：/=| TCP - Transport Control Protocol | Source Port: 20 ftp-data | Destination Port: 1663 | Sequence Number: 2578824336 | Ack Number: 0 | Offset: 6 (24 bytes) | Reserved: %000000 | Flags: %000010 | 0. . (No Urgent pointer) | .0 . (No Ack) | . 0. (No Push) | . .0. (No Reset) | . .1. SYN | . .0 (No FIN) | | Window: 3731 | Checksum: 0x8A4C | Urgent Pointer: 0 | No TCP Options | | TCP Options | Options Type: 2 Maxinum Segment Size | Length: 4 | MSS: 1460 | | FCS - Frame Check Sequence | FCS (Calculated): 0x5A1BD023 |=/当使用FTP时候，网络中的防火墙必须要声明相应的端口，防火墙必须要跟踪FTP对话然后检查PORT命令，防火墙必须要参与从服务器端到客户端在PORT命令中指定的端口连接的建立过程。如果网络中使用了NAT（注：网络地址翻译），那么NAT的网关同样也需要声明相应的端口，网关需要把在PORT命令中指定的IP地址翻译成分配给客户的地址，然后重新计算TCP的Checksum；如果网关没有正确地执行这个操作，FTP就失败了。黑客可能会利用FTP支持第三方特性这一特点，在PORT命令中设置IP地址和端口号参数来指定一台目标主机的地址和端口号（有时候称这种攻击为FTP反弹攻击），例如黑客可以让一台FTP服务器不断地从它的源端口20发送TCP SYN包给一系列目的端口，让FTP服务器看起来正在进行端口扫描，目的主机不知道攻击来自黑客的主机，看起来攻击象是来自FTP服务器。一些常用的FTP应用在PORT命令中设置地址为，这样做的意图是让FTP服务器只需要与打开控制连接的相同客户进行数据连接，设置地址为可能会让防火墙不知所措。例如，CISCO PIX IOS6.0以上版本的PIX（注：CISCO硬件防火墙设备，6.0以上版本为其修正了相关的FTP协议）要求数据连接的IP地址与已经存在的控制连接的IP地址必须相同。这样做的原因是防止黑客用PORT命令来攻击别的机器，虽然一些FTP应用设置IP地址为不是有意图的攻击，但在PIX修正协议环境下的确引起了一些问题，同时对其他不允许第三方模式和避免FTP反弹攻击的防火墙来说，这也会引起相同的问题。2.2 FTP Passive模式下面的列表描述了Passive模式的FTP的步骤，步骤1到3和Port模式FTP相同，步骤9到11同样与Port模式FTP最后三步相同。1、客户端发送一个TCP SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源端口；2、服务器端发送SYN ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；3、客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接来发送FTP应答；4、当用户请求一个列表(List)或者发送或接收文件时候，客户端软件发送PASV命令给服务器端表明客户端希望进入Passive模式；5、服务器端进行应答，应答包括服务器的IP地址和一个暂时的端口，这个暂时的端口是客户端在打开数据传输连接时应该使用的端口；6、客户端发送一个SYN包，源端口为客户端自己选择的一个暂时端口，目的端口为服务器在PASV应答命令中指定的暂时端口号