<b>网站安全:FTP服务器的攻防实战</b>[服务器安全]

通过FTP站点下载文件是目前最常用的传输文件办法之一,分外是关于企业用户来说,公司成立一个专门的FTP服务器供应应员工,让他们通过这个服务器同享资源是最便利的办法.不过作为网络管理员的你能否真正理解FTP的安全呢?不要认为设置个复杂的管理员帐户密码便可以万事无忧了,也不要认为将系统安装上最新的补钉大概挑选最新版SERV-U等FTP搭建工具便可以万无一失了.本日就由笔者带领为大家介绍在默许情形下FTP站点传输数据方面的漏洞,当然在文中还会为读者介绍若何补偿这些漏洞.

1、破解FTP用户名和密码

首先我们要知道默许情形下FTP站点信息是用明文举行传输的,没有举行任何的加密.也就是说当用户登录FTP站点输入用户名和密码时,这些信息是没有加密的.不法用户可以通过sniffer等工具将这些信息复原成本来面目.

实战:通过sniffer将FTP站点的用户名和密码复原成明文

环境描写:

公司网络中AB两台计算机通过交换机彼此衔接到同一个子网,B是员工计算机,一名员工通过他拜候公司的FTP服务器,登录FTP时利用自己的用户名和密码.A是我们安装了sniffer的计算机,通过sniffer我们可以监测出利用B计算机的员工拜候FTP服务器的用户名和密码.

实现办法:

第一步:首先在A计算机上安装强盛的sniffer工具,并启动该程序.

第二步:在sniffer软件中通过上方的“matrix”按钮启动监测界面.

第三步:翻开监测界面后我们便可以开始监测网络中的数据包了,通过菜单栏的“capture->start”启动.

第四步:在检测数据包窗口中我们点左下角的objects标签,然后挑选station,这样将把当前网络中全部通信都显示在窗口中.

第五步:这时刻假如B计算机的员工利用电脑登录了FTP服务器,那么我们在sniffer中点菜单的“capture->stop and display”.

第六步:这里假定我们FTP服务器的IP地址为211.154.80.30,那么我们从显示的地址列表中找到关于211.154.80.30这个IP的数据包,然后点下方的“DECODE”按钮举行数据包再解析.

第七步:在“DECODE”（反编码）界面中我们便可以对关于211.154.80.30的全部数据包举行解析了.我们一个一个的解析数据包,解析到大约第十二个数据包时呈现用户名信息,我们可以从界面中看到用户名为softer.

第八步:持续往下看,到了第十四个数据包的时刻便可以看到密码了,密码以明文的情势显示在sniffer中,密码为pacino.

至此我们就通过sniffer工具将员工在FTP服务器上的用户名和密码破解出来,该办法在员工和安装了sniffer的计算机处在同一个子网的情形下有效.

2、加密FTP站点信息的传输

既然知道了FTP服务器是以明文方法传输数据的,分外是用户名和密码传输的安全性极差,信息很简单被盗,固然FTP供应了SSL加密的功效,不过默许情形下是没有启用的,如大家常用的Serv-U FTP服务器（简称Serv-U）.所以说为了保证传输的数据信息不被随便盗取,有必要启用SSL功效,提高服务器数据传输的安全性.我们以Serv-u为例举行介绍来补偿这个安全缺陷.

小提醒:什么是SSL加密协议?SSL协议(Secure Socket Layer,安全套接层)是由网景（Netscape）公司推出的一种安全通信协议,它可以对信誉卡和个人信息供应较强的保护.SSL是对计算机之间整个会话举行加密的协议.在SSL中,采取了公开密钥和私有密钥两种加密办法.所以利用SSL协议后我们便可以保证网络中传输的数据不被不法用户盗取到了.

（1）安装Serv-U服务器

由于安装Serv-U的文章对比多,所以本文就不具体介绍了.（如图6）安装完毕后我们要成立一个FTP服务器的域并设置呼应的用户名和密码.

（2）成立SSL证书

要想利用Serv-U的SSL功效,需求SSL证书的支持才行.固然Serv-U在安装之时就已经自动生成了一个SSL证书,但这个默许生成的SSL证书在全部的Serv-U服务器中都是一样的,非常不安全,所以我 们需求手工成立一个自己独特的SSL证书.

第一步:在“Serv-U管理员”窗口中,展开“本地服务器->设置”选项,然后切换到“SSL证书”标签页.

第二步:成立一个新的SSL证书.首先在“普通名称”栏中输入FTP服务器的IP地址,接着别的栏目的内容,如电子邮件、组织和单位等,按照用户的情形举行填写.

第三步:完成SSL证书标签页中全部内容的填写后,点击下方的“利用”按钮便可,这时Serv-U就会生成一个新的SSL证书.

（3）启用SSL功效

固然为Serv-U服务器成立了新的SSL证书,但默许情形下,Serv-U是没有启用SSL功效的,要想操纵该SSL证书,首先要启用Serv-U的SSL功效才行.

第一步:要启用Serv-U服务器中域名为“softer”的SSL功效.在“Serv-U管理员”窗口中,顺次展开“本地服务器->域->softer”选项.

第二步:在右侧的“域”管理框中找到“安全性”下拉列表选项.这里Serv-U供应了3种选项,辨别是“仅仅法则FTP,无SSL/TLS进程”、“答应SSL/TLS和法则进程”、“只答应SSL/TLS进程”,默许情形下,Serv-U利用的是“仅仅法则FTP,无SSL/TLS进程”,因此是没有启用SSL加密功效的.

第三步:在“安全性”下拉选项框种挑选“只答应SSL/TLS进程”选项,然后点击“利用”按钮,便可启用softer域的SSL功效.

小提醒:启用了SSL功效后,Serv-U服务器利用的默许端口号就不再是“21”了,而是“990”了,这点在登录FTP的时刻一定要留神,不然就会无法成功衔接FTP服务器.

（4）利用SSL加密衔接FTP

启用Serv-U服务器的SSL功效后,便可以操纵此功效安全传输数据了,但FTP客户端程序必须支持SSL功效才行.假如我们直接利用IE浏览器举行登录则会呈现图9显示的错误信息,一方面是认为没有改正默许的端口21为990,别的IE浏览器不支持SSL协议传输.