演示：理解FTP协议、主动FTP、被动FTP、故障分析、试题分析

第4章详解并取证网络协议的工作原理任务4.4.34.4.3理解FTP的主动模式如图4.65所示，主动FTP实际上是经过两次TCP三次握手完成的，数据最终在20号端口上进行传送。这两次TCP三次握手，一次是由客户端主动发起到FTP服务器的连接，FTP客户端以大于等于1024的源端口向FTP服务器的21号端口发起连接；一次是由FTP服务器主动发起到客户端的连接，服务器使用源端口20主动向客户端1025号端口发起连接。可以把服务器发起到客户端的连接看成是服务器主动连接客户端一个新的TCP会话，会话的初始方是FTP服务器。注意：FTP客户端在与FTP服务器进行TCP会话时，从理论的角度来讲，它可以使用同一个端口比如1024去与FTP服务器的20和21号端口会话，但是通常在实际环境中都不这样做，因为这样将使FTP的工作过程变得更复杂，而且可能出现一些不可预计的故障，所以在图4.65所示的环境中，FTP客户端使用了两个不同的源端口1024和1025去与FTP服务器的20和21号端口进行会话。任务4.4.3图4.65主动FTP的工作原理示意图注意：主动FTP的两次TCP握手分别是客户连接FTP服务器的21号端口和FTP服务器主动连接客户端，如果在FTP服务器与客户端之间存在非状态识别类的防火墙，则将产生连接故障，具体将在4.4.5节“关于FTP两种模式引发防火墙与ACL过滤时故障”进行描述。任务4.4.44.4.4理解FTP的被动模式如图4.66所示为被动FTP模式，服务器只使用21号端口。它为什么叫“被动FTP”是理解的关键，首先FTP客户端以1024为源端口去与FTP服务器的21号端口进行TCP三次握手，这个连接FTP服务器21号端口的TCP三次握手是FTP客户端主动发起的，然后FTP服务器会告诉FTP客户端它可以使用1034号端口来进行数据传递，事实上这台FTP服务器告知FTP客户端使用1034号端口进行数据传递的消息是属于FTP客户端1024号端口到FTP服务器21号端口会话的一部分，它是一个声明FTP使用被动模式的消息帧，而这个消息帧的源端口是基于FTP服务器21号端口发给FTP客户端1024端口的，可以使用协议分析器捕获该消息帧。当FTP服务器收到使用1034号端口进行数据传递时，FTP客户端使用源端口1025去主动连接FTP服务器的1034号端口完成TCP三次握手。至此，在这个过程中发生的两次TCP握手都是FTP客户端主动去连接FTP服务器的，服务器始终没有主动去连接客户端，所以美其名曰“被动FTP”。任务4.4.3图4.66被动FTP的工作原理示意图注意：被动FTP的两次TCP握手都是由FTP客户端主动发起连接FTP服务器的，关于这一点可以对比图4.65和图4.66两次TCP握手的方向，在被动FTP的情况下，如果在FTP服务器与客户端之间存在非状态识别类的防火墙，则不会产生故障，但是使用ACL过滤被动FTP连接时，时常会因为忽略了被动FTP所使用的高端口号致使过滤失败。任务4.4.54.4.5关于FTP两种模式引发防火墙与ACL过滤时故障上面描述了关于主动FTP和被动FTP的工作原理，都是为本小节作基础的，因为原理始终要被应用于工作实践中，无论是主动FTP还是被动FTP在笔者所经历的工程环境中，它们永远是发生故障的焦点，主动FTP常发生在穿越防火墙时，而被动FTP常发生在ACL过滤时。下面笔者将对FTP应用到这两处的故障进行分析，以便大家在以后的工作中不再被FTP的两种模式产生的故障所困扰。建议：当学习到本书的第10章，部署防火墙和ACL来识别并过滤FTP发生故障时，请回看本小节。任务4.4.5主动FTP穿越防火墙的故障当企业级网络使用防火墙后，FTP模式与防火墙安全策略的兼容性就成为一个很大的考验。在现实的项目应用中，大部分用户会对企业的防火墙作如图4.67所示的配置，其原则是：允许内部安全区域的主机发起对外部（Internet）的访问与请求；Internet上的Web或FTP服务器收到该请求后，将回应请求给安全区域的用户；当回应数据到达防火墙的外部接口后，防火墙对其进行检查，发现该数据流量是由内部主动请求后由外部返回的流量，防火墙允许数据进入。图4.67在现实的项目应用中大部分用户对企业的防火墙的配置任务4.4.5防火墙允许进入安全区域的流量是由内部主动发起、外部响应的流量。这种流量一般有一些明显的特征，如SYN=1ACK=1。在默认情况下，防火墙会拒绝所有的从外部主动连接到内部的流量，当然，黑客的攻击流量也包括在内。这种流量一般有一些明显的特征，如SYN=1ACK=0。事实上，主动FTP模式FTP服务器将主动连接FTP客户端，正是这样的流量。用户如此部署防火墙的安全策略，在多数情况下是很科学的，这样拒绝了所有的“可疑流量”。但是如果内部安全区域的主机使用了主动FTP，那么该FTP不能穿越防火墙，因为主动FTP的两次TCP三次握手过程，其中第二次TCP三次握手就是FTP服务器主动发起的，SYN=1，ACK=0，防火墙会误认为这是一个从外部连接内部的流量而将其拒绝在外部接口，用户FTP访问最终失败。解决方案：一种方案是将主动FTP模式改为被动FTP模式；另一种方案是使用更智能、可以识别会话状态的防火墙，如Cisco公司的CBAC（基于上下文访问控制），智能识别的防火墙可以将主动FTP识别成一个应用会话。任务4.4.5被动FTP使用ACL过滤的故障被动FTP可以解决部署非智能状态识别的防火墙环境中的故障，但是在使用ACL进行FTP数据过滤时，往往由于不能清晰地理解被动FTP模式的工作过程，忽略了被动FTP所使用的高端口号，从而导致对FTP数据的识别与过滤失败。为了解决这个问题，在这里笔者专门提出一个特定的参考环境来描述如何使用ACL来过滤和识别主动与被动FTP数据。如图4.68所示，要求在路由器E1/1接口的入方向只允许客户端对服务器的主动FTP连接和被动FTP连接，而拒绝其他数据。具体配置如下，关于为什么要这样写ACL，请认真回忆主动FTP和被动FTP的工作原理。图4.68关于FTP的模式与ACL任务4.4.5在路由器E1/1接口的入方向允许主动FTP连接的配置access-list101permittcphosteqftphostaccess-list101permittcphosteqftp-datahost在路由器E1/1接口的入方向允许被动FTP连接的配置access-list101permittcphostlt5000host如何知道FTP使用的是主动模式还是被动模式，怎么去改变模式FTP究竟使用哪种模式，是主动还是被动？这