FTP Overview

1、主动模式(Active FTP Mode)V.S被动模式(Passive FTP Mode)桓基科技技术咨询部 制作2005/6/29FTP Server 介绍简介nFTP基本概念。nActive FTP Mode(主动模式)的联机流程。nPassive FTP Mode(被动模式)的联机流程。n两种模式的比较。FTP基本概念nTCP-based service遵循TCP协议，包含完整的TCP标头。n指令(FTP- Command)跟数据(FTP-DATA)是使用不同的TCP联机。n适用于数据的上下传送，并可作一定的档案管理。nDATA-Channel 只有需要传送数据时会建立.在传送完数据后

2、，就结束联机，下笔数据传送将另外建立一条新DATA-Channel联机。主动模式 1/5客户端服务器DATAX1024CMDX1024CMD21DATA20联机建立的方向Active FTP Mode 示意图CMD ChannelDATA Channel主动模式 (CMD Channel建立) 2/51. Client 端主动向 Server 端发送联机的需求：Client 端随机选取一个大于1024以上的 port 来主动的联机到FTP主机提供的 FTP 端口口（通常为 port 21）2. Server 端接受后，响应给 Client 端当 Server 接受到 Client 端的需求，会

3、建立等待联机的资源。3. Client 端回应确认封包再次发送一个确认封包给主机，建立起联机的通道。通常是 port 21仅能进行 FTP 的指令而已，如果该指令涉及到数据的传送时，例如上传或下载等等，那么就需要额外建立一条数据传输的信道才行 ！而数据传输的信道建立则需要继续底下的步骤主动模式 (CMD Channel建立) 3/5提出需求联机(SYN)回应确认联机(SYN,ACK)回应收到确认联机(ACK)封包1.2.3.FTP Server主动模式(DATA-Channel建立)4/51. Client 端经由指令信道(CMD Channel)发送数据传输要求的命令给 Server当需要进

4、行数据的传输时，Client 端会启用另一个高于1024的端口来做联机的准备，经由指令信道(CMD Channel)告知Server。2. Server 端以 ftp-data 端口主动联机到 ClientServer 会【主动】的以 ftp-data 端口（一般为 port 20）向 Client 端通知的那个高于1024的端口进行联机。3. Client 端响应主机端，并继续完成三方交握完成另一个三向交握的程序，此时，数据传输的信道才正式的建立。使用到的使用到的 port： 由上面的联机数据来看，其实我们会用到的主机的两个端口口分别是：由上面的联机数据来看，其实我们会用到的主机的两个端口口

5、分别是：(1)命令通道的CMD Channel (预设为 port 21 )。 (2)数据传输的DATA-Channel(预设为port 20)。 主动模式(DATA-Channel建立)5/5Port Command封包CMD Channel1.2.3.FTP Server回应确认联机(SYN,ACK)回应收到确认联机(ACK)提出需求联机(SYN)被动模式 1/4联机建立的方向客户端服务器DATAX1024CMDX1024CMD21DATA20DATAX1024Passive FTP Mode 示意图CMD ChannelDATA Channel被动模式(CMD Channel建立) 2/

6、4n在被动模式(Passive FTP Mode)中的CMD Channel 联机建立，和主动模式 (Active FTP Mode)相同。n同样是跟Server Port 21建立CMD Channel联机服务。被动模式(DATA-Channel建立)3/41. Client 端经由指令信道(CMD Channel)发送数据传输要求的命令给 Server。2. Server 端挑选 1024 的端口等待联机：在接受 client 经由指令信道(CMD Channel)发送来PASV 要求之后，如果没有特别的设定时 ，Server 会随机选取一个大于 1024 的端口，并经由命令通道告诉 cl

7、ient 端，并开始等待 client 端的联机。3. Client 端【主动】向 Server 端建立联机并继续完成三向交握：经由命令通道得知 Server 的端口之后， Client 端会随机挑选另一个大于 1024 的端口，并主动向 Server 端的等待联机的端口进行联机动作，并继续来完成另一个三向交握的程序，此时，数据传输的信道就正式的建立。使用到的使用到的 port： 由上面的联机数据来看，其实我们会用到的主机的两个端口分由上面的联机数据来看，其实我们会用到的主机的两个端口分别是：别是：(1)命令通道的CMD Channel(预设为 port 21 )。 (2)数据传输的DATA-

8、Channel(1024以上的端口号)。被动模式(DATA-Channel建立)4/4封包CMD Channel1.2.3.FTP ServerPort Command送 “PASV” Command告知在等待中的Server Port提出需求联机(SYN)回应确认联机(SYN,ACK)回应收到确认联机(ACK)两种模式的比较n就以下两方面来比较主动模式(Active FTP Mode)跟被动模式(Passive FTP Mode)的不同点。1.在NAT环境下的影响。2.FTP实际运作差异。NAT影响n主动模式在目前网络环境中，已较不适用，原因是大多数的Client是在NAT环境下。n被动模式

9、下就不受Client在NAT内的影响。n在主动模式中，Client 在 NAT主机 内会形成， CMD Channel 建立正常，但是无法正常建立 Data Channel 的问题。NAT影响(CMD Channel建立)FTP Server4NAT 主機外:34內:543来源IP:port目地IP:Port3 : x4 : 21来源IP:port目地IP:Port34 : Y4 : 21X,Y,Z为大于1024

10、的任一 Port3 : x34 : YNAT转译对映表新增资料提出需求联机(SYN)提出需求联机(SYN)Client(3:x) 端主动向 Server (4:21) 端发送FTP联机的需求。NAT影响(CMD Channel建立)FTP Server4NAT 主机外:34內:543X,Y,Z为大于1024 的任一 Port来源IP:port目地IP:Port4 : 2110.133.133

11、.23 : x来源IP:port目地IP:Port4 : 2134 : Y封包传递正常，联机可正常建立3 : x34 : YNAT转译对映表查询数据对映回应确认联机(SYN,ACK)回应确认联机(SYN,ACK)Server (4:21)端接受后，响应给 Client(3:x) 端。NAT影响(DATA-Channel建立)FTP Server4NAT 主機外:34內:5410.133.133

12、.23X,Y,Z为大于1024 的任一 Port来源IP:port目地IP:Port4 : 203 : Z已正常联机的CMD ChannelActive FTP ModePort Command Port 3: Z提出需求联机(SYN)Client 端经由指令信道(CMD Channel)发送数据传输要求的命令给 Server当需要进行数据的传输时，Client 端会启用另一个高于1024的端口来做联机的准备，经由指令信道(CMD Channel)告知Server。Server 端以 ftp-data 端口主动联机到 Cli

13、ent。由于Client 的IP 已经 NAT 主机作过转址，所以Server并不能以Client端所提供的IP位置，找到NAT主机当然也就不可能联机到Client。NAT影响(DATA-Channel建立)Passive FTP Mode (1/2)FTP Server4NAT 主机外:34内:543来源IP: port目地IP: Port3 : z4 : 21来源IP: port目地IP: Port34 : w

14、4 : nX,Y,Z,W,V为大于1024 的任一 Port已正常联机的CMD ChannelPort Command 4:W3 : x34 : Y3 : z34 : wNAT转译对映表新增资料提出需求联机(SYN)提出需求联机(SYN)Server 端挑选 1024 的端口等待联机：在接受 client 经由指令信道(CMD Channel)发送来PASV 要求之后，如果没有特别的设定时 ，Server 会随机选取一个大于 1024 的端口，并经由命令通道告诉 client 端，

15、并开始等待 client 端的联机。 Client 端【主动】向 Server 端建立联机。NAT影响(DATA-Channel建立)Passive FTP Mode (2/2)FTP Server4NAT 主机外:34内:543X,Y,Z,W,V为大于1024 的任一 Port来源IP:port目地IP:Port4 : v3 :z来源IP:port目地IP:Port4 : n34 : w封包传递正常，联机可正常建

16、立3 : x34 : Y3 : z34 : wNAT转译对映表查询数据对映回应确认联机(SYN,ACK)回应确认联机(SYN,ACK)Server (4:21)端接受后，响应给 Client(3:x) 端。实际运作差异在Server 设定的预设登入回应。这是在LINUX下，使用预设的FTP Client程序，加上”-d”的参数，FTP Client程序会进入除错模式，会显示实际传之Port Commmand。IP为欲连接的Server 的IP位置。实际运作差

17、异此时为输入使用者账号。输入密码，通常在FTP在传输过程是使用明码传输。Client实际传出的Port command。故密码在实际传输是会传送明码的密码。实际运作差异.(Active FTP Mode)nServer 02nClient 4PORT CMD Format“PORT No1, No1, No2”192,168,7,44,128,105 前四组代表IP,后两组为PORT数.计萛为128*256+105=32873开放Port号为32873.?4:32873实际运作差异.(Passive FTP Mode)nServer 02nClient 4此为手动方式启动