秘密ftp
Ⅰ 什麼是ftp下載啊是不是就是在網上下東西啊
ftp下載是ftp協議中的一部分,ftp協議也不單純是一個下載協議,更主要的是進行客戶與伺服器之間的數據交換的協議(可以聯網的電腦都能做為伺服器,不要以為是那些超級計算機之間的),這種協議被大多數的網頁寄託網站使用,ftp協議和http協議既實現了對網站的管理(這里你可以把http看做一個下載協議),也能正常瀏覽網頁,但為了保密,設計服務程序時都應設置一個標識(用戶和密碼),我們設計的程序可以通過協議中關於此類的內容進行驗證,從而保證站點類容不被惡改,而ftp下載就需要有多個標識,這里服務程序可以直接以ip地址為標識,設置許可權,當然也需要更高的編程能力(這里的編程語言皆為中級計算機語言,不過我不會,我學高級語言,大概猜的)網上不會笨到用麻煩的方法去讓你下載東西,所以,我們通常所說的下載都是http下載,ftp下載大概只用於秘密下載吧。
Ⅱ 如何在linux上配置ftp 及創建 ftp用戶
做一個虛擬賬戶就解決了:
步驟如下:
1、建立虛擬用戶口令庫文件
口令庫文件中奇數行設置用戶名,偶數行設置口令
# vi /etc/vsftpd/logins.txt 注意,一下是4行
upload 這個是帳戶名
upload 這個是密碼
download
download
2、生成vsftpd的認證文件
# db_load -T -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db
設置認證文件只對用戶可讀可寫
# chmod 600 /etc/vsftpd/vsftpd_login.db
3、建立虛擬用戶所需的PAM配置文件
# vi /etc/pam.d/vsftpd.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
注意:以上2行中最後的2個文件名vsftpd_login和第2個步驟中的資料庫名字必須一致!
4、建立虛擬用戶所要訪問的目錄並設置相應許可權
# mkdir /home/ftpsite
# useradd -d /home/ftpsite virtual(用戶名)
# chown virtual:virtual /home/ftpsite
# chmod 700 /home/ftpsite/
5、設置vsftpd.conf配置文件
guest_enable=YES
guest_username=virtual
pam_service_name=vsftpd.vu
6、設置主配置文件
在vsftpd.conf文件中添加用戶配置文件目錄設置
user_config_dir=/etc/vsftpd_user_conf
# service vsftpd restart
7、建立用戶配置文件目錄
使用mkdir命令建立用戶配置文件目錄
# mkdir /etc/vsftpd_user_conf
為虛擬用戶建立單獨的配置文件,用戶配置文件名稱與用戶名相同
touch /etc/vsftpd_user_conf/upload
touch /etc/vsftpd_user_conf/download
8、每個FTP虛擬用戶都可以獨立設置其許可權
vi /etc/vsftpd_user_conf/upload
anon_world_readable_only=NO 可讀可下載
anon_upload_enable=YES 可上傳
anon_mkdir_write_enable=YES 可創建和刪除文件夾
anon_other_write_enable=YES 可文件改名和刪除文件
local_root=/home/ftpsite/upload 指定upload的宿主目錄
download_enable=NO 禁止下載
(注意:請先到/home/ftpsite下面去創建upload文件夾)
Ⅲ 與ftp伺服器建立連接的過程中發送和接收了哪些ftp報文和tcp報文段
在TCP報文的報頭中,有幾個標志欄位:
1、 SYN:同步連接序號,TCP SYN報文就是把這個標志設置為1,來請求建立連接;
2、 ACK:請求/應答狀態。0為請求,1為應答;
3、 FIN:結束連線。如果FIN為0是結束連線請求,FIN為1表示結束連線;
4、 RST:連線復位,首先斷開連接,然後重建;
5、 PSH:通知協議棧盡快把TCP數據提交給上層程序處理。
可能出現的掃描:(33/ppt11 - 43/ppt11 介紹了下面各種掃描的做法及優缺點)
§基本的TCP connect()掃描
§TCP SYN掃描(半開連接掃描, half open)
§TCP Fin掃描(秘密掃描,stealth)
§TCP ftp proxy掃描(bounce attack)
§用IP分片進行SYN/FIN掃描(躲開包過濾防火牆)
§UDP recvfrom掃描
§UDP ICMP埠不可達掃描
§Reverse-ident掃描
(針對TCP中SYN、RST、FIN標志欄位可能出現的攻擊,記一下名稱應該就可以了)
埠掃描攻擊:
攻擊者計算機便可以通過發送合適的報文,判斷目標計算機哪些TCP或UDP埠是開放的,過程如下:
1、 發出埠號從0開始依次遞增的TCP SYN或UDP報文(埠號是一個16比特的數字,這樣最大為65535,數量很有限); 2、 如果收到了針對這個TCP報文的RST報文,或針對這個UDP報文的ICMP不可達報文,則說明這個埠沒有開放; 3、 相反,如果收到了針對這個TCP SYN報文的ACK報文,或者沒有接收到任何針對該UDP報文的ICMP報文,則說明該TCP埠是開放的,UDP埠可能開放(因為有的實現中可能不回應ICMP不可達報文,即使該UDP埠沒有開放)。 這樣繼續下去,便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠,然後針對埠的具體數字,進行下一步攻擊,這就是所謂的埠掃描攻擊。
TCP SYN拒絕服務攻擊;
1、 攻擊者向目標計算機發送一個TCP SYN報文; 2、 目標計算機收到這個報文後,建立TCP連接控制結構(TCB),並回應一個ACK,等待發起者的回應; 3、 而發起者則不向目標計算機回應ACK報文,這樣導致目標計算機一致處於等待狀態。
分片IP報文攻擊:
為了傳送一個大的IP報文,IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片,通過填充適當的IP頭中的分片指示欄位,接收計算機可以很容易的把這些IP分片報文組裝起來。
目標計算機在處理這些分片報文的時候,會把先到的分片報文緩存起來,然後一直等待後續的分片報文,這個過程會消耗掉一部分內存,以及一些IP協議棧的數據結構。如果攻擊者給目標計算機只發送一片分片報文,而不發送所有的分片報文,這樣攻擊者計算機便會一直等待(直到一個內部計時器到時),如果攻擊者發送了大量的分片報文,就會消耗掉目標計算機的資源,而導致不能相應正常的IP報文,這也是一種DOS攻擊。
SYN比特和FIN比特同時設置:
正常情況下,SYN標志(連接請求標志)和FIN標志(連接拆除標志)是不能同時出現在一個TCP報文中的。而且RFC也沒有規定IP協議棧如何處理這樣的畸形報文,因此,各個操作系統的協議棧在收到這樣的報文後的處理方式也不同,攻擊者就可以利用這個特徵,通過發送SYN和FIN同時設置的報文,來判斷操作系統的類型,然後針對該操作系統,進行進一步的攻擊。