本文主要介紹FTP的工作原理,F(xiàn)TP主動(dòng)與被動(dòng)兩種工作模式。
FTP 簡(jiǎn)介
FTP協(xié)議就是文件傳輸控制協(xié)議。它可以使文件通過(guò)網(wǎng)絡(luò)從一臺(tái)主機(jī)傳送到同一網(wǎng)絡(luò)的另一臺(tái)主機(jī)上,而不受計(jì)算機(jī)類型和操作系統(tǒng)類型的限制。服務(wù)器、大型機(jī),還是DOS操作系統(tǒng)、windows操作系統(tǒng)、linux操作系統(tǒng),只要雙方都支持FTP協(xié)議,就可以方便地傳送文件。
FTP 的兩種模式
FTP分為兩種工作模式:主動(dòng)模式(Active)與被動(dòng)模式(Passive)
FTP 主動(dòng)工作模式(PORT)原理
FTP客戶端首先會(huì)隨機(jī)開(kāi)啟一個(gè)大于1024的端口N(1032),并連接服務(wù)端的21號(hào)端口,然后開(kāi)放M端口(與端口N沒(méi)直接聯(lián)系)進(jìn)行監(jiān)聽(tīng), 同時(shí)向服務(wù)器發(fā)出PORT 1033命令通知服務(wù)器自己的在接收數(shù)據(jù)時(shí)所使用的端口號(hào)。服務(wù)器在傳輸數(shù)據(jù)的時(shí)候,服務(wù)端通過(guò)自己的20端口去連接客戶端的端口M。當(dāng)不需要傳輸時(shí),此連接會(huì)自動(dòng)斷開(kāi)。如下圖(圖中端口號(hào)僅為示例):
FTP 被動(dòng)模式(PASV)原理
FTP客戶端隨機(jī)開(kāi)啟一個(gè)大于1024的端口X向服務(wù)器的21端口發(fā)起連接,同時(shí)會(huì)開(kāi)啟X+1端口。然后向服務(wù)器發(fā)送PASV命令,通知服務(wù)器自己處于被動(dòng)模式。服務(wù)器收到命令后,會(huì)開(kāi)放一個(gè)大于1024的端口Y進(jìn)行監(jiān)聽(tīng),然后在ACK回復(fù)中通知客戶端,自己的數(shù)據(jù)端口是Y。客戶端收到命令后,會(huì)通過(guò)X+1號(hào)端口連接服務(wù)器的端口Y,然后在兩個(gè)端口之間進(jìn)行數(shù)據(jù)傳輸。這樣就能使防火墻知道用于數(shù)據(jù)連接的端口號(hào),而使數(shù)據(jù)連接得以建立 。如下圖:
主動(dòng)模式與被動(dòng)模式區(qū)別
在主動(dòng)模式中,傳輸數(shù)據(jù)時(shí),服務(wù)器是主動(dòng)連接客戶端的數(shù)據(jù)端口。但如果客戶端存在防火墻,那么當(dāng)服務(wù)端在連接客戶端數(shù)據(jù)端口的時(shí),就有可能被防火墻阻擋。所以FTP主動(dòng)模式在許多時(shí)候用于沒(méi)有防火墻隔離的內(nèi)部網(wǎng)絡(luò)機(jī)器。一但有防火墻的存在,那么一般就不會(huì)在使用主動(dòng)模式,而是被動(dòng)模式。因?yàn)樵诒荒J街校钸B接與數(shù)據(jù)連接,都是由客戶端發(fā)起的,而防火墻一般不會(huì)對(duì)出去的數(shù)據(jù)包進(jìn)行阻擋。
同時(shí),F(xiàn)TP的主動(dòng)模式(PORT)和被動(dòng)模式(PASV)都只ipv4,在針對(duì)IPV6擴(kuò)展后就出現(xiàn)EPRT、EPSV相對(duì)應(yīng)。
簡(jiǎn)而言之,客戶端被防火墻保護(hù)時(shí),盡量使用被動(dòng)模式;服務(wù)端被保護(hù)時(shí),盡量使用主動(dòng)模式。但不管使用哪種模式,數(shù)據(jù)連接的目標(biāo)端口都不固定,無(wú)法簡(jiǎn)單配置基于端口的策略,當(dāng)前防火墻一般通過(guò)解析FTP控制連接數(shù)據(jù),臨時(shí)開(kāi)啟數(shù)據(jù)連接訪問(wèn)權(quán)限的方式實(shí)現(xiàn)(經(jīng)測(cè)試確認(rèn)H3C防火墻確實(shí)采用此方式支持FTP協(xié)議,且V5版本不支持EPSV、EPRT)。
常見(jiàn)FTP客戶端支持的連接方式:
PORT:主動(dòng)模式
EPRT:增強(qiáng)主動(dòng)模式
PASV:被動(dòng)模式
EPSV:增強(qiáng)被動(dòng)模式
FTP與其他文件傳輸類型對(duì)比
