209.htm

unix高级编程原吗

基于网络地址的访问控制可以起一定作用，但还可能受到“地址盗用(spoof)”攻击。在 <br>
spoof攻击 <br>
中，攻击机器可以冒用在组织内的机器的网络地址，从而将文件下载到在组织之外的未 <br>
授权的机器 <br>
上。 <br>
3.3 保护密码(Protecting Passwords) <br>
a. 漏洞 <br>
第一、在FTP标准[PR85]中，FTP服务器允许无限次输入密码。 <br>
第二、“PASS”命令以明文传送密码 <br>
b. 攻击 <br>
强力攻击有两种表现：在同一连接上直接强力攻击；和服务器建立多个、并行的连接进 <br>
行强力攻 <br>
击。 <br>
c. 防范措施 <br>
对第一种中强力攻击，建议服务器限制尝试输入正确口令的次数。在几次尝试失败后， <br>
服务器应关 <br>
闭和客户的控制连接。在关闭之前，服务器可以发送返回码421（服务不可用，关闭控制 <br>
连 <br>
连 <br>
接”）。另外，服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有 <br>
效性。若可 <br>
能的话，目标操作系统提供的机制可以用来完成上述建议。 <br>
对第二种强力攻击，服务器可以限制控制连接的最大数目，或探查会话中的可疑行为并 <br>
在以后拒绝 <br>
该站点的连接请求。 <br>
密码的明文传播问题可以用FTP扩展中防止窃听的认证机制解决。 <br>
d. 遗留问题 <br>
然而上述两种措施的引入又都会被“业务否决”攻击，攻击者可以故意的禁止有效用户 <br>
的访问。 <br>
3.4 私密性(Privacy) <br>
在FTP标准中[PR85]中，所有在网络上被传送的数据和控制信息都未被加密。为了保障F <br>
TP传输数据 <br>
的私密性，应尽可能使用强壮的加密系统。 <br>
3.5 保护用户名Usernames <br>
a. 漏洞 <br>
当“USER”命令中的用户名被拒绝时，在FTP标准中[PR85]中定义了相应的返回码530。 <br>
而当用户名 <br>
是有效的但却需要密码，FTP将使用返回码331。 <br>
b. 攻击 <br>
攻击者可以通过利用USER操作返回的码确定一个用户名是否有效 <br>
c. 防范措施 <br>
c. 防范措施 <br>
不管如何，两种情况都返回331。 <br>
3.6 端口盗用Port Stealing <br>
a. 漏洞 <br>
当使用操作系统相关的方法分配端口号时，通常都是按增序分配。 <br>
b. 攻击 <br>
攻击者可以通过规律，根据当前端口分配情况，确定要分配的端口。他就能做手脚：预 <br>
先占领端 <br>
口，让合法用户无法分配；窃听信息；伪造信息。 <br>
c. 防范措施 <br>
由操作系统无关的方法随机分配端口号，让攻击者无法预测。 <br>
4. 结论 <br>
FTP被我们广泛应用，自建立后其主框架相当稳定，二十多年没有什么变化，但是在Int <br>
ernet迅猛 <br>
发展的形势下，其安全问题还是日益突出出来。上述的安全功能扩展和对协议中安全问 <br>
题的防范也 <br>
正是近年来人们不懈努力的结果，而且在一定程度上缓解了FTP的安全问题。 <br>
参考文献 <br>
[BA72] Bhushan, Abhay, et al, "The File Transfer Protocol", RFC 172 <br>
(NIC 6794), MIT-Project MAC, 23 June 1971. <br>
[PJ81] Postel, Jon, "Transmission Control Protocol - DARPA Internet <br>
Program Protocol Specification", RFC 793, DARPA, September <br>
1981. <br>
1981. <br>
[PJ83] Postel, Jon, and Joyce Reynolds, "Telnet Protocol <br>
Specification", RFC 854, ISI, May 1983. <br>
[Pos81] Postel, J., "Transmission Control Protocol", STD 7, RFC <br>
793, September 1981. <br>
[PR85] Postel, J. and J. Reynolds, "File Transfer Protocol <br>
(FTP)", STD 9, RFC 959, October 1985. <br>
[HL97] Horowitz, M. and S. Lunt, "FTP Security Extensions", RFC <br>
2228, October 1997. <br>
[AO99] M. Allman, S. Ostermann, "FTP Security Considerations", RFC <br>
2577, May 1999. <br>
终于写完了，谈谈感想 <br>
为写作本文，主要阅读了一些RFC文档。原来对FTP一点也不了解，想不到在二十多年前 <br>
竟然有那么 <br>
多关于它的讨论，它也算是Internet上的元老了，能生存至今还是与它良好的结构分不 <br>
开的。 <br>
读RFC文档有两个感受，其一是知识更新很快，1999年就能发出近300篇RFC，资料相当丰 <br>
富。其 <br>
二，读文档好辛苦，而找文档更辛苦，幸好RFC组织得好，资料又全又不要钱，而且具有 <br>
较强权威 <br>
性。这是一个关于Internet的不可多得的知识库。 <br>
这个文档也想尽量向RFC靠靠，就只有来点格式方面的靠近了。另外，内容也全是货真价 <br>
实的RFC原 <br>
实的RFC原 <br>
文翻译。;) <br>
【 在 ysqcn (岁月无声) 的大作中提到: 】 <br>
: 在主动模式下，需要起数据连接的时候，客户端创建一个 <br>
: 套接字，然后在这个套接字上倾听。此时如果一个恶意者 <br>
: 从其它机器上连接这个套接字，然后关闭，岂不影响服务 <br>
: 器正常的数据传输？ <br>
  <br>
  <br>
-- <br>
Rather than Love...Wealth... <br>
or Fame... <br>
     Gave me Truth. <br>
               -Walden <br>
※ 来源:·UNIX编程 www.tiaozhan.com/unixbbs/·[FROM: 202.120.224.18] 发信人: gur <br>
u (好读书，不求甚解), 信区: UNP <br>
标  题: Re: 关于ftp的数据连接一个疑问 <br>
发信站: UNIX编程 (2001年09月22日10:52:49 星期六), 站内信件 <br>
  <br>
hehe..你看了FTP的RFC就知道这篇文章怎么来的了， <br>
直接翻译的，还没有RFC文档清楚。：） <br>
精华区FTP目录好象有这篇文章。 <br>
  <br>
  <br>
【 在 eepaul (阿龙) 的大作中提到: 】 <br>
: 这篇文章好像比较全面，转贴一下 <br>
: 发信人: relive (火鸟~~非梧不栖~~笑傲梧枝), 信区: HackerVsSecurity <br>
: 标  题: ftp的安全问题 <br>
: 发信站: 日月光华站 (Fri Sep 21 09:57:43 2001) , 站内信件 <br>
: FTP的安全问题 【相关文章】 <br>
:     文件传输协议(File Transfer Protocol,FTP)是一个被广泛应用的协议，它使得我 <br>
: 们能够在网 <br>
: 络上方便地传输文件。早期FTP并没有涉及安全问题，随着互连网应用的快速增长，人们 <br>
: 对安全的 <br>
: 要求也不断提高。本文在介绍了FTP协议的基本特征后，从两个方面探讨了FTP安全问题 <br>
: .................（以下省略） <br>
  <br>
-- <br>
Target Locked:Guru In Darkness. <br>
我只是一只静静卧着的狮子。。。 <br>
※ 修改:·guru 於 09月22日10:53:09 修改本文·[FROM: 202.114.36.210] <br>
※ 来源:·UNIX编程 www.tiaozhan.com/unixbbs/·[FROM: 202.114.36.210] <br>
发信人: eepaul (阿龙), 信区: UNP <br>
标  题: Re: 关于ftp的数据连接一个疑问 <br>
发信站: UNIX编程 (2001年09月22日13:25:39 星期六), 站内信件 <br>
  <br>
  <br>
有不有RFC编号到RFC内容的映射的表 <br>
  <br>
【 在 guru (好读书，不求甚解) 的大作中提到: 】 <br>
: hehe..你看了FTP的RFC就知道这篇文章怎么来的了， <br>
: 直接翻译的，还没有RFC文档清楚。：） <br>
: 精华区FTP目录好象有这篇文章。 <br>
: 【 在 eepaul (阿龙) 的大作中提到: 】 <br>
: : 这篇文章好像比较全面，转贴一下 <br>
: : 发信人: relive (火鸟~~非梧不栖~~笑傲梧枝), 信区: HackerVsSecurity <br>
: : 标  题: ftp的安全问题 <br>
: : 发信站: 日月光华站 (Fri Sep 21 09:57:43 2001) , 站内信件 <br>
: : FTP的安全问题 【相关文章】 <br>
: :     文件传输协议(File Transfer Protocol,FTP)是一个被广泛应用的协议，它使得我 <br>
: .................（以下省略） <br>
  <br>
-- <br>
Rather than Love...Wealth... <br>
or Fame... <br>
     Gave me Truth. <br>
               -Walden <br>
※ 来源:·UNIX编程 www.tiaozhan.com/unixbbs/·[FROM: 202.120.224.18] 发信人: scz <br>
 (小四), 信区: UNP <br>

标  题: Re: 关于ftp的数据连接一个疑问 <br>
发信站: UNIX编程 (2001年09月22日21:50:03 星期六), 站内信件 <br>
  <br>
  <br>
几乎每个提供下载RFC的站点都有类似这样的文件 <br>
rfc-index.txt <br>
  <br>
【 在 eepaul (阿龙) 的大作中提到: 】 <br>
: 有不有RFC编号到RFC内容的映射的表 <br>
: 【 在 guru (好读书，不求甚解) 的大作中提到: 】 <br>
: : hehe..你看了FTP的RFC就知道这篇文章怎么来的了， <br>
: : 直接翻译的，还没有RFC文档清楚。：） <br>
: : 精华区FTP目录好象有这篇文章。 <br>
: : .................（以下省略） <br>
  <br>
  <br>
-- <br>
  <br>
            也许有一天，他再从海上蓬蓬的雨点中升起， <br>
            飞向西来，再形成一道江流，再冲倒两旁的石壁， <br>
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生...... <br>
※ 来源:·UNIX编程 www.tiaozhan.com/unixbbs/·[FROM: 211.167.65.123] 发信人: eep <br>

aul (阿龙), 信区: UNP <br>
标  题: Re: 关于ftp的数据连接一个疑问 <br>
发信站: UNIX编程 (2001年09月22日22:49:10 星期六), 站内信件 <br>
  <br>
我看到了,在我以前下在的rfc目录里面果然有。 <br>
  <br>
实在不好意思:) <br>
  <br>
  <br>
【 在 scz (小四) 的大作中提到: 】 <br>
: 几乎每个提供下载RFC的站点都有类似这样的文件 <br>
: rfc-index.txt <br>
: 【 在 eepaul (阿龙) 的大作中提到: 】 <br>
: : 有不有RFC编号到RFC内容的映射的表 <br>
  <br>
  <br>
-- <br>
Rather than Love...Wealth... <br>
or Fame... <br>
     Gave me Truth. <br>
               -Walden <br>
※ 来源:·UNIX编程 www.tiaozhan.com/unixbbs/·[FROM: 202.120.224.18] 发信人: gur <br>

u (好读书，不求甚解), 信区: UNP <br>
标  题: Re: 关于ftp的数据连接一个疑问 <br>
发信站: UNIX编程 (2001年09月23日19:48:10 星期天), 站内信件 <br>
  <br>
rfc-index找也很麻烦,每次直接google使用逻辑与搜索就很 <br>
精准的说. <br>
  <br>
【 在 eepaul (阿龙) 的大作中提到: 】 <br>
: 我看到了,在我以前下在的rfc目录里面果然有。 <br>
: 实在不好意思:) <br>
: 【 在 scz (小四) 的大作中提到: 】 <br>
: : 几乎每个提供下载RFC的站点都有类似这样的文件 <br>
: : rfc-index.txt <br>
  <br>
  <br>
-- <br>
Target Locked:Guru In Darkness. <br>
我只是一只静静卧着的狮子。。。 <br>
※ 来源:·UNIX编程 www.tiaozhan.com/unixbbs/·[FROM: 202.114.36.179] <br>
</small><hr>
<p align="center">[<a href="index.htm">回到开始</a>][<a href="185.htm">上一层</a>][<a href="210.htm">下一篇</a>]
<p align="center"><a href="http://cterm.163.net">欢迎访问Cterm主页</a></p>
</table>
</body>
</html>