ftp服务器下载_ftp攻击服务器软件

关于FTP请进!

FTP与serv-U简介

FTP的全称是File Transfer Protocol(文件传输协议)。而FTP服务器，则是在互联网上提供存储空间的计算机，它们依照FTP协议提供服务。当它们运行时，用户就可以连接到服务器上下载文件，也可以将自己的文件上传到FTP服务器中。在TCP/IP协议中，FTP标准命令端口号为21，数据端口为20。

FTP 服务器可以以两种方式登录，一种时匿名登录，另一种时使用授权帐号和密码登录。

一般匿名登录只能下载FTP服务器的文件，对这类用户，需要加以限制，不宜开启过高的权利，在带宽方面也要加以限制。

而对于授权帐号登录，管理员可以针对不同用户的需求，对帐号进行限制，不如可以访问哪些资源，上载与下载速率等。如没有十分必要，不要轻易赋予管理员的权限。

搭建FTP服务器的软件有多种，其中比较常见的时IIS中的FTP功能与SERV-U FTP Server。

IIS中的FTP功能属于非专业的FTP软件，但由于它与Windows 2000集成，所以，熟悉的人比较多。

SERV-U FTP Server是一款共享软件，未注册可以使用30天，它是专业的FTP 服务器软件。性能稳定，且使用简单，它可以载同一台机器上建立多个FTP服务器，也可以为每个服务器建立不同的帐号和组，并能详细的记录用户访问情况。

下面介绍如何安装和配置Serv-U FTP服务器，它的基本过程如下：

1. 用Serv－U架设个人FTP

首先下载安装Serv-U并运行，安装完成之后将出现“设置向导”窗口，我们就来跟随着这个向导的指引，一步步进行操作。

1) 设置Serv－U的IP地址与域名

单击“下一步”跳过系统提示信息，来到“您的IP地址”窗口，这里要求输入本机的IP地址。

如果你的电脑有固定的IP地址，那就直接输入；如果你只有动态IP（例如拨号用户），那该处请留空，Serv-U在运行时会自动确定你的IP地址。

下一步，进行“域名”设定。如果该机申请了域名，可以填写上，否则可以填写任意的名称。

接下来的是“系统服务”选项。如果选择“是”，这样当系统启动时，服务器也会跟着开始运行。

2) 设置匿名登录

匿名访问就是允许用户以Anonymous为用户名，无需特定密码即可连接服务器并拷贝文件。如果你不想让陌生人随意进入你的FTP服务器，或想成立VIP会员区，就应该在“匿名账号”窗口中选“否”，这样就只有经过你许可的用户才能登录该FTP。如果允许匿名登录在此选“是”。

之后就要为匿名账户指定FTP上传或下载的主目录，这是匿名用户登录到你的FTP服务器后看到的目录。设定后，向导还会继续询问你是否将匿名用户锁定于此目录中，如图3所示，从安全的角度考虑，建议选“是”。这样匿名登录的用户将只能访问你指定的主目录及以下的各级子目录，而不能访问上级目录，便于保证硬盘上其他文件的安全。

3) 创建新账户

除了匿名用户，我们一般还需要建立有密码的专用账号，也就是说可以让指定用户以专门的账号和密码访问你的服务器，这样做适用于实行会员制下载或只让授权用户访问。在图4所示窗口中单击“users”，按下鼠标右键，选择“new user”新建帐号，填入账号名称test，而后在“账号密码”窗口输入该账号的密码。

单击“下一步”，要求指定FTP主目录，并询问是否将用户锁定于主目录中，选“是”，作用与匿名账户设定基本相同。

2. 帐户属性设置

至此，我们已拥有了两个用户——Anonymous和test。点击“test”用户，右侧出现test用户属性设置界面。

在Account选项中，可以修改用户名称、密码，所属组别，用户主目录，帐户特权（是否为管理员）。

在General选项中，可以设置用户使用同一个IP的最大连接数，最大上载，下载速率超时时间等。

在Dir Acess选项中，可分别针对不同目录设置读、写、列表、删除、继承等权限。此项需要根据实际需要慎重选择。

在IP access选项中，可设置来自哪些IP地址的test用户可以访问，哪些地址范围是拒绝访问的。

在UL/DL Ratios中，可设置上、下载比例。

在Quota选项中，设置磁盘配额。可根据需要给用户分配一定的磁盘空间，避免服务器硬盘被用户过度使用情况。

3. 设置虚拟目录

如果需要提供服务的文件不在主目录，而保存在其他分区或目录下，可通过设置虚拟目录实现访问，而不必把文件拷贝到主目录下面。比如我将主目录设为E:\game，想将D:\TEMP挂到主目录下供人下载，就要用到虚拟目录的功能。其中：%HOME%即指的主目录。

第一步：建立虚拟目录

如图单击中的settings标签，设置物理目录D:\Temp目录到主目录的映射。

第二步：物理目录加入Dir Access之中

设置虚拟目录就是为了将用户锁定在主目录下的，所以要将物理目录加入Dir Access之中，并设置访问权限，如图3

4. 管理Serv-U服务器

1) 设置启动服务选项：点击窗体左方的“Local Server”，勾选右边的“Start automatically（system service）”。

2) 管理域属性：

对FTP服务器来说，建立多个域是非常有用的，每个域都有各自的用户、组和相关的设置。下面简单介绍一下管理器界面上必要的各项设置。

点击域名，可管理该域名称、IP地址、服务端口等。

点击“setting”选项，如图 所示，

在“Jeneral”选项可以设置最大用户数和虚拟目录；

在“Ip access”选项可以设置允许和拒绝的IP访问范围；

在“Message“选项中是一些系统提示信息；

在“Logging”选项中，可选择性记录系统日志、安全日志、上下载日志及日志文件等。

在“UL/DL Rate”选项中，设置上下载速率比。

在“Advanced”选项中，可设置保留活动用户的时间，帐号密码是否加密、是否允许被 动模式传输数据等。

我们从总体的服务器管理、域管理、帐户管理三个方面介绍了Serv-U的使用。 至此，一个简单的个人FTP服务器就已经完整地呈现在你面前了。

5. 测试FTP服务

要使用FTP服务器下载和上传，就要用到FTP的客户端软件。常用的FTP客户端软件有CuteFTP、FlashFXP、FTP Explorer等等。基本上只要在这些软件的“主机名”处中填入你庙宇的FTP服务器IP地址，而后依次填入用户名，密码和端口，点击连接，只要能看到你设定的主目录并成功实现文件的下载和上传，就说明这个用Serv-U建立起来的FTP服务器能正常使用了！下图是使用FlashFXP客户端软件用test帐号登录的信息，图右下方可看到服务器地址、登录帐号等信息。

你试一下吧。

如何提高FTP服务器安全性

FTP是一种文件传输协议。有时我们把他形象的叫做文件交流集中地。FTP文件服务器的主要用途就是提供文件存储的空间，让用户可以上传或者下载所需要的文件。在企业中，往往会给客户提供一个特定的FTP空间，以方便跟可以进行一些大型文件的交流，如大到几百兆的设计图纸等等。同时，FTP还可以作为企业文件的备份服务器，如把数据库等关键应用在FTP服务器上实现异地备份等等。

可见，FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大，所以，很多黑客、病毒也开始关注他了。他们企图通过FTP服务器为跳板，作为他们传播木马、病毒的源头。同时，由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下，FTP服务器也就成为了别人攻击的对象。

在考虑FTP服务器安全性工作的时候，第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中，默认提供了三类用户。不同的用户对应着不同的权限与操作方式。

一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候，其默认的主目录就是其帐号命名的目录。但是，其还可以变更到其他目录中去。如系统的主目录等等。

第二类帐户实Guest用户。在FTP服务器中，我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是，这个账户有个特点，就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户，在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户，只能够访问其主目录下的目录，而不得访问主目录以外的文件。

在组建FTP服务器的时候，我们就需要根据用户的类型，对用户进行归类。默认情况下，Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是，这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录，而且，还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以，企业要根据实际情况，修改用户虽在的类别。

修改方法：第一步：修改/etc/Vsftpd/vsftpd.conf文件。

默认情况下，只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候，就需要把这个选项启用。修改/etc/Vsftpd/vsftpd.conf文件，把其中的chroot_list_enable=YES这项前面的注释符号去掉。去掉之后，系统就会自动启用Real类型的帐户。

第二步：修改/etc/vsftpd.conf文件。

若要把某个FTP服务器的帐户归属为Guest帐户，则就需要在这个文件中添加用户。通常情况下，FTP服务器上没有这个文件，需要用户手工的创建。利用VI命令创建这个文件之后，就可以把已经建立的FTP帐户加入到这个文件中。如此的话，某个帐户就属于Real类型的用户了。他们登录到FTP服务器后，只能够访问自己的主目录，而不能够更改主目录。

第三步：重新启动FTP服务器。

按照上述步骤配置完成后，需要重新启动FTP服务器，其配置才能够生效。我们可以重新启动服务器，也可以直接利用Restart命令来重新启动FTP服务。

在对用户尽心分类的时候，笔者有几个善意的提醒。

一是尽量采用Guest类型的用户，而减少Real类行的用户。一般我们在建立FTP帐户的时候，用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时，会对其他用户文件的安全产生威胁。

在以下几种情况下，我们要禁止这些账户访问FTP服务器，以提高服务器的安全。

一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户，其对系统具有最高的操作与管理权限。若允许用户以这个账户为账户名进行登陆的话，则用户不但可以访问Linux系统的所有资源，而且，还好可以进行系统配置。这对于FTP服务器来说，显然危害很大。所以，往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。

第二类是一些临时账户。有时候我们出于临时需要，为开一些临时账户。如需要跟某个客户进行图纸上的交流，而图纸本身又比较大时，FTP服务器就是一个很好的图纸中转工具。在这种情况下，就需要为客户设立一个临时账户。这些账户用完之后，一般就加入到了黑名单。等到下次需要再次用到的时候，再启用他。

在vstftpd服务器中，要把某些用户加入到黑名单，也非常的简单。在Vsftpd软件中，有一个/etc/vsftpd.user_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件，通常情况下，一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后，往往不需要重新启动FTP服务，配置就会生效。

不过，一般情况下，不会影响当前会话。也就是说，管理员在管理FTP服务器的时候，发现有一个非法账户登陆到了FTP服务器。此时，管理员马上把这个账户拉入黑名单。但是，因为这个账户已经连接到FTP服务器上，所以，其当前的会话不会受到影响。当其退出当前会话，下次再进行连接的时候，就不允许其登陆FTP服务器了。所以，若要及时的把该账户禁用掉的话，就需要在设置好黑名单后，手工的关掉当前的会话。

对于一些以后不再需要使用的帐户时，管理员不需要把他加入黑名单，而是直接删除用户为好。同时，在删除用户的时候，要记得把用户对应的主目录也一并删除。不然主目录越来越多，会增加管理员管理的工作量。在黑名单中，只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量，而且，还可以提高FTP服务器的安全性。

在系统默认配置下，匿名类型的用户只可以下载文件，而不能够上传文件。虽然这不是我们推荐的配置，但是，有时候出于一些特殊的需要，确实要开启这个功能。如笔者以前在企业中，利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便，就在FTP服务器上开启了匿名访问，并且允许匿名访问账户网某个特定的文件夹中上传某个文件。

笔者再次重申一遍，一般情况下，是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中，不含有一些破坏性的程序，如病毒或者木马等等。有时候，虽然开启了这个功能，但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件，其他账户则不行。如此的话，可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户，就可以在外网中登陆到FTP服务器上。

总之，在FTP服务器安全管理上，主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件；二是用户不得访问未经授权的目录，以及对这些目录的文件进行更改，包括删除与上传；三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容，都可以通过上面的三个方法有效的解决。

服务器受到攻击的几种方式

服务器受攻击的方式主要有以下几种：

1．数据包洪水攻击

一种中断服务器或本地网络的方法是数据包洪水攻击，它通常使用Internet控制报文协议（ICMP）包或是UDP包。在最简单的形式下，这些攻击都是使服务器或网络的负载过重，这意味着黑客的网络速度必须比目标的网络速度要快。使用UDP包的优势是不会有任何包返回到黑客的计算机。而使用ICMP包的优势是黑客能让攻击更加富于变化，发送有缺陷的包会搞乱并锁住受害者的网络。目前流行的趋势是黑客欺骗目标服务器，让其相信正在受到来自自身的洪水攻击。

2．磁盘攻击

这是一种更残忍的攻击，它不仅仅影响目标计算机的通信，还破坏其硬件。伪造的用户请求利用写命令攻击目标计算机的硬盘，让其超过极限，并强制关闭。这不仅仅是破坏，受害者会遭遇不幸，因为信息会暂时不可达，甚至丢失。

3．路由不可达

通常，DoS攻击集中在路由器上，攻击者首先获得控制权并操纵目标机器。当攻击者能够更改路由器的路由表条目的时候，会导致整个网络不可达。这种攻击是非常阴险的，因为它开始出现的时候往往令人莫名其妙。毕竟，你的服务器会很快失效，而且当整个网络不可达，还是有很多原因需要详审的。

4．分布式拒绝服务攻击

最有威胁的攻击是分布式拒绝服务攻击（DDoS）。当很多堡垒主机被感染，并一起向你的服务器发起拒绝服务攻击的时候，你将伤痕累累。繁殖性攻击是最恶劣的，因为攻击程序会不通过人工干涉蔓延。Apache服务器特别容易受攻击，无论是对分布式拒绝服务攻击还是隐藏来源的攻击。为什么呢？因为Apache服务器无处不在。在万维网上分布着无数的Apache服务器，因此为Apache定制的病毒（特别是SSL蠕虫）潜伏在许多主机上；带宽如今已经非常充裕，因此有很多的空间可供黑客操纵。蠕虫攻击利用服务器代码的漏洞，通过SSL握手将自己安装在Apache服务器上。黑客利用缓冲溢出将一个伪造的密钥安装在服务器上（适用于运行低于0.9.6e版本的OpenSSL的服务器）。攻击者能够在被感染的主机上执行恶意代码，在许多这样的病毒作用下，下一步就是对特定的目标发动一场浩大的分布式拒绝服务攻击了。通过将这样的蠕虫散播到大量的主机上，大规模的点对点攻击得以进行，对目标计算机或者网络带来不可挽回的损失。

ftp外网无法访问，如图

不知道楼主是否使用路由器连网,如果是,下面提供了详细的设置方法,如果是直接拨号上网,则更简单。

一、使用路由器,需要设置路由器的端口映射,就可以实现楼主的要求,具体需要映射的端口是21,21是FTP端口。这里给楼主详细说下:

1、申请花生壳免费域名。因为ADSL每次拨号后,获得的IP都是不同的,所以需要动态绑定到域名上,方便其他人记忆和访问。

2、设置本机固定局域网IP,例如设置为192.168.1.100 。

3、登陆路由器,找到“虚拟服务器”选项,这里需要说明一下,不同的路由器型号的配置方法也不完全相同,但一般都会有“虚拟服务器”这项功能,如果找不到这一项,可以找到“DMZ主机”,DMZ主机可以将内网的某个IP地址的所有端口均对外网开放,不过这样设置会有安全隐患,建议设置虚拟服务器。

4、在“虚拟服务器”表格中填入要映射的内网IP,按上面的就是192.168.1.100,在内网端口和外网端口处填21,然后保存重起路由器。

5、启动花生壳并激活域名服务。

6、在计算机中安装SERVER-U软件,它是一款非常好用的FTP服务器软件(我自己用了很多年),有中文版,设置起来非常简单,如果不会我帮你远程,设置好后就可以正常访问了。需要注意,通过路由器配置的服务器,在内网电脑一般是不能通过域名访问的,假设在你自己的电脑上访问你申请的域名,就会出现让你输入用户名和密码的提示,你怎么输入都是不对的。要外网的电脑才可以正确访问,这点希望楼主明白。

二、直接ADSL拨号上网的配置方法:

1、申请花生壳免费域名 2、在计算机上启动花生壳并激活域名服务 3、安装SERVER-U软件,设置好后即可成功访问。

各位网络高手，我想了解一下关于FTP的基本知识。

分类: 电脑/网络

问题描述:

谢谢大家了，当然我也会把我知道的，和大家共享的。

解析:

FTP基础知识

您是否正准备搭建自己的FTP网站？您知道FTP协议的工作机制吗？您知道什么是PORT方式？什么是PASV方式吗？如果您不知道，或没有完全掌握，请您坐下来，花一点点时间，细心读完这篇文章。所谓磨刀不误砍柴功，掌握这些基础知识，会令您事半功倍。否则，很可能折腾几天，最后一事无成。

FTP基础知识

FTP是File Transfer Protocol（文件传输协议）的缩写，用来在两台计算机之间互相传送文件。相比于HTTP，FTP协议要复杂得多。复杂的原因，是因为FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。

FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。

PORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。

当需要传送数据时，客户端在命令链路上用 PORT命令告诉服务器：“我打开了****端口，你过来连接我”。于是服务器从20端口向客户端的****端口发送连接请求，建立一条数据链路来传送数据。

PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。

当需要传送数据时，服务器在命令链路上用 PASV命令告诉客户端：“我打开了****端口，你过来连接我”。于是客户端向服务器的****端口发送连接请求，建立一条数据链路来传送数据。

从上面可以看出，两种方式的命令链路连接方法是一样的，而数据链路的建立方法就完全不同。而FTP的复杂性就在于此。

FTP服务器端的注意事项

一、FTP服务器是公网IP，用公网动态域名；或是内网IP，用内网专业版TrueHost

1、服务器如果安装了防火墙，请记住要在防火墙上打开FTP端口（默认是21）。

2、所有FTP服务器软件都支持PORT方式。至于PASV方式，大部分FTP服务器软件都支持。支持PASV方式的FTP服务器软件，也可以设置为只工作在PORT方式上。

3、为了PASV方式能正常工作，需要在FTP服务器软件上为PASV方式指定可用的端口范围（设置方法）。此外，还要在服务器的防火墙上打开这些端口。当客户端以PASV方式连接服务器的时候，服务器就会在这个端口范围里挑选一个端口出来，给客户端连接。

二、FTP服务器是内网IP，用内网动态域名标准版cm*natpro*y

这种情况下，FTP服务器不需要做特殊设置，只要支持PASV方式就可以了。大部分FTP服务器软件都支持PASV方式。

FTP客户端的注意事项

请注意：选择用PASV方式还是PORT方式登录FTP服务器，选择权在FTP客户端，而不是在FTP服务器。

一、客户端只有内网IP，没有公网IP

从上面的FTP基础知识可知，如果用PORT方式，因为客户端没有公网IP，FTP将无法连接客户端建立数据链路。因此，在这种情况下，客户端必须要用PASV方式，才能连接FTP服务器。大部分FTP站长发现自己的服务器有人能登录上，有人登录不上，典型的错误原因就是因为客户端没有公网IP，但用了IE作为FTP客户端来登录（IE默认使用PORT方式）。

作为FTP站长，有必要掌握FTP的基础知识，然后指导您的朋友如何正确登录您的FTP。

二、客户端有公网IP，但安装了防火墙

如果用PASV方式登录FTP服务器，因为建立数据链路的时候，是由客户端向服务器发送连接请求，没有问题。反过来，如果用PORT方式登录FTP服务器，因为建立数据链路的时候，是由服务器向客户端发送连接请求，此时连接请求会被防火墙拦截。如果要用PORT方式登录FTP服务器，请在防火墙上打开 1024以上的高端端口。

三、连接用内网标准版cm*natpro*y搭建的FTP服务，必须要用PASV方式。连接任何公网FTP服务器、或用内网专业版TrueHost搭建的FTP服务器，PORT方式和PASV方式都可以使用。

当然，使用PORT方式的时候，还要满足上面的两个条件。

四、常见的FTP客户端软件PORT方式与PASV方式的切换方法。

大部分FTP客户端默认使用PASV方式。IE默认使用PORT方式。

在大部分FTP客户端的设置里，常见到的字眼都是“PASV”或“被动模式”，极少见到“PORT”或“主动模式”等字眼。因为FTP的登录方式只有两种：PORT和PASV，取消PASV方式，就意味着使用PORT方式。

IE：

工具 - Inter选项 - 高级 - “使用被动FTP”（需要IE6.0以上才支持）。

CuteFTP：

Edit - Setting - Connection - Firewall - “PASV Mode”

或

File - Site Manager，在左边选中站点 - Edit - “Use PASV mode”

FlashGet：

工具 - 选项 - 代理服务器 - 直接连接 - 编辑 - “PASV模式”

FlashFTP：

选项 - 参数选择 - 代理/防火墙/标识 - “使用被动模式”

或

站点管理 - 对应站点 - 选项 - “使用被动模式”

或

快速连接 - 切换 - “使用被动模式”

LeechFTP：

Option - Firewall - Do not Use

五、请尽量不要用IE作为FTP客户端

IE只是个很粗糙的FTP客户端工具。首先，IE6.0以下的版本不支持PASV方式；其次，IE在登录FTP的时候，看不到登录信息。在登录出错的时候，无法找到错误的原因。在测试自己的FTP网站的时候，强烈建议不要使用IE。

FTP建站的详细配置过程

请参考这个网页的说明来配置：

使用Serv-U建立FTP网站

高级话题

一、为什么没有公网IP，也能使用PORT方式登录FTP？

NAT 网关的工作方式是在TCP/IP数据包的包头里找局域网的源地址和源端口，替换成网关的地址和端口。对数据包里的内容，是不会改变的。而使用PORT方式登录FTP的时候，IP地址与端口信息是在数据包里面的，而不是在包头。因此，没有公网IP，使用PORT方式是无法从inter上的ftp服务器下载数据的。

但是，极少数的NAT网关也支持PORT方式。这些NAT网关连数据包里面的内容都扫描，扫描到 PORT指令后会替换PORT方式的IP和端口。在这种NAT网关下面，用PORT方式就没问题了。不过，这些网关也只扫描21端口的数据包，如果FTP 服务器不是用默认的21端口，也无法使用PORT方式。

二、内网可以用PORT访问其他FTP，为什么不能用PORT访问自己的TrueHost FTP？

下面要讨论的问题，只是为了说明一些原理，是不影响实际使用的。如果您没有兴趣深究这些原理，不必花时间看。

内网用户通过支持PORT方式的NAT网关，访问自己本机利用TrueHost建立的FTP服务器，FTP命令链路的建立过程如下：

FTP客户端

10.10.0.1

端口*** == ISP NAT网关

61.144.1.2

端口**** == TH服务器

*.*.*.*

端口21 == TH客户端 == 用户FTP服务器

10.10.0.1

端口21

FTP客户端通过ISP的NAT网关、科迈TrueHost服务器、TrueHost客户端，连接用户本机的FTP服务器的21端口。

当需要下载数据的时候，FTP客户端通过这条命令链路，向FTP服务器发送PORT命令。假设命令为：

PORT 10,10,0,1,30,4 （即IP=10.10.0.1 端口=30*256+4=7684）

当命令通过ISP的NAT网关的时候，NAT网关判断目的端口是21，并且是PORT命令，于是，修改命令里的IP和端口，替换为自己的IP和端口，比如：

PORT 61,144,1,2,50,6 （即IP=61.144.1.2 端口=50*256+6=12806）

用户的FTP服务器最终收到的是上面这个PORT命令。于是，FTP服务器向这个IP和端口发送连接请求，建立数据链路。

用户FTP服务器

10.10.0.1

端口20 == ISP NAT网关

61.144.1.2

端口12806 == FTP客户端

10.10.0.1

端口7684

但是，因为NAT网关的公网IP只能接收外来的连接请求。就是说，61.144.1.2:12806只能接收其他公网IP的连接请求，对于从NAT内部（10.10.0.1:20）发起的连接请求，是无法建立连接的。为什么？原因很简单，因为内网IP要访问外网，必须要通过NAT建立映射。于是FTP数据链路无法建立。于是，用户无法在自己的机器上通过21端口访问自己的TrueHost FTP。

我们再来看看，如果FTP端口不是21，比如是22，会发生什么情况呢？在FTP客户端发送PORT命令的时候，NAT网关检测到目标端口是22，因为支持PORT的 NAT网关只监视目的端口是21的数据包，发现目的端口是22的数据包，不做任何处理，完全放行。于是FTP服务器收到的PORT命令依然是PORT 10,10,0,1,30,4。于是FTP服务器向这个IP和端口发送连接请求。

用户FTP服务器

10.10.0.1

端口20 == FTP客户端

10.10.0.1

端口7684

这种情况下命令链路就可以建立起来了。而且是等于本机连接本机，速度飞快。

综上所述，内网用户无法用PORT方式通过21端口访问自己的TrueHost FTP服务器。如果FTP端口不是21，则可以访问，而且实际上是本机连接本机。

上面的文字，仅仅是为了说明一些原理，不影响实际使用。如果本机访问本机，还要通过FTP的话，就有画蛇添足之嫌了。

标签：ftp攻击服务器软件