秘密ftp
Ⅰ 什么是ftp下载啊是不是就是在网上下东西啊
ftp下载是ftp协议中的一部分,ftp协议也不单纯是一个下载协议,更主要的是进行客户与服务器之间的数据交换的协议(可以联网的电脑都能做为服务器,不要以为是那些超级计算机之间的),这种协议被大多数的网页寄托网站使用,ftp协议和http协议既实现了对网站的管理(这里你可以把http看做一个下载协议),也能正常浏览网页,但为了保密,设计服务程序时都应设置一个标识(用户和密码),我们设计的程序可以通过协议中关于此类的内容进行验证,从而保证站点类容不被恶改,而ftp下载就需要有多个标识,这里服务程序可以直接以ip地址为标识,设置权限,当然也需要更高的编程能力(这里的编程语言皆为中级计算机语言,不过我不会,我学高级语言,大概猜的)网上不会笨到用麻烦的方法去让你下载东西,所以,我们通常所说的下载都是http下载,ftp下载大概只用于秘密下载吧。
Ⅱ 如何在linux上配置ftp 及创建 ftp用户
做一个虚拟账户就解决了:
步骤如下:
1、建立虚拟用户口令库文件
口令库文件中奇数行设置用户名,偶数行设置口令
# vi /etc/vsftpd/logins.txt 注意,一下是4行
upload 这个是帐户名
upload 这个是密码
download
download
2、生成vsftpd的认证文件
# db_load -T -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db
设置认证文件只对用户可读可写
# chmod 600 /etc/vsftpd/vsftpd_login.db
3、建立虚拟用户所需的PAM配置文件
# vi /etc/pam.d/vsftpd.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
注意:以上2行中最后的2个文件名vsftpd_login和第2个步骤中的数据库名字必须一致!
4、建立虚拟用户所要访问的目录并设置相应权限
# mkdir /home/ftpsite
# useradd -d /home/ftpsite virtual(用户名)
# chown virtual:virtual /home/ftpsite
# chmod 700 /home/ftpsite/
5、设置vsftpd.conf配置文件
guest_enable=YES
guest_username=virtual
pam_service_name=vsftpd.vu
6、设置主配置文件
在vsftpd.conf文件中添加用户配置文件目录设置
user_config_dir=/etc/vsftpd_user_conf
# service vsftpd restart
7、建立用户配置文件目录
使用mkdir命令建立用户配置文件目录
# mkdir /etc/vsftpd_user_conf
为虚拟用户建立单独的配置文件,用户配置文件名称与用户名相同
touch /etc/vsftpd_user_conf/upload
touch /etc/vsftpd_user_conf/download
8、每个FTP虚拟用户都可以独立设置其权限
vi /etc/vsftpd_user_conf/upload
anon_world_readable_only=NO 可读可下载
anon_upload_enable=YES 可上传
anon_mkdir_write_enable=YES 可创建和删除文件夹
anon_other_write_enable=YES 可文件改名和删除文件
local_root=/home/ftpsite/upload 指定upload的宿主目录
download_enable=NO 禁止下载
(注意:请先到/home/ftpsite下面去创建upload文件夹)
Ⅲ 与ftp服务器建立连接的过程中发送和接收了哪些ftp报文和tcp报文段
在TCP报文的报头中,有几个标志字段:
1、 SYN:同步连接序号,TCP SYN报文就是把这个标志设置为1,来请求建立连接;
2、 ACK:请求/应答状态。0为请求,1为应答;
3、 FIN:结束连线。如果FIN为0是结束连线请求,FIN为1表示结束连线;
4、 RST:连线复位,首先断开连接,然后重建;
5、 PSH:通知协议栈尽快把TCP数据提交给上层程序处理。
可能出现的扫描:(33/ppt11 - 43/ppt11 介绍了下面各种扫描的做法及优缺点)
§基本的TCP connect()扫描
§TCP SYN扫描(半开连接扫描, half open)
§TCP Fin扫描(秘密扫描,stealth)
§TCP ftp proxy扫描(bounce attack)
§用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)
§UDP recvfrom扫描
§UDP ICMP端口不可达扫描
§Reverse-ident扫描
(针对TCP中SYN、RST、FIN标志字段可能出现的攻击,记一下名称应该就可以了)
端口扫描攻击:
攻击者计算机便可以通过发送合适的报文,判断目标计算机哪些TCP或UDP端口是开放的,过程如下:
1、 发出端口号从0开始依次递增的TCP SYN或UDP报文(端口号是一个16比特的数字,这样最大为65535,数量很有限); 2、 如果收到了针对这个TCP报文的RST报文,或针对这个UDP报文的ICMP不可达报文,则说明这个端口没有开放; 3、 相反,如果收到了针对这个TCP SYN报文的ACK报文,或者没有接收到任何针对该UDP报文的ICMP报文,则说明该TCP端口是开放的,UDP端口可能开放(因为有的实现中可能不回应ICMP不可达报文,即使该UDP端口没有开放)。 这样继续下去,便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口,然后针对端口的具体数字,进行下一步攻击,这就是所谓的端口扫描攻击。
TCP SYN拒绝服务攻击;
1、 攻击者向目标计算机发送一个TCP SYN报文; 2、 目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、 而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。
分片IP报文攻击:
为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP报文,这也是一种DOS攻击。
SYN比特和FIN比特同时设置:
正常情况下,SYN标志(连接请求标志)和FIN标志(连接拆除标志)是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文,因此,各个操作系统的协议栈在收到这样的报文后的处理方式也不同,攻击者就可以利用这个特征,通过发送SYN和FIN同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。