系统集成论坛

标题: FTP常见攻击方式及防范措施 [打印本页]

作者: www.91fwq.com 时间: 2012-10-12 14:04
标题: FTP常见攻击方式及防范措施
　　1．跳转攻击（Bounce Attack）
　　RFC959[PR85]中规定的FTP规范提供了一种攻击知名网络服务器的一种方法，并且使攻击者很难被跟踪。攻击者发送一个FTP"PORT"命令给目标FTP服务器，其中包含该主机的网络地址和被攻击的服务的端口号。这样，客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令（如SMTP,NNTP等）。由于是命令第三方去连接到一种服务，而不是直接连接，就使得跟踪攻击者变得困难，并且还避开了基于网络地址的访问限制。
　　例如，客户端上载包含SMTP命令的报文到FTP服务器。然后，使用正确的PORT命令，客户端命令服务器打开一个连接给第三方机器的SMTP端口。最后，客户端命令服务器传输刚才上载的包含SMTP命令的报文给第三方机器。这就使得客户端不建立任何直接的连接而在第三方机器上伪造邮件，并且很难跟踪到这个攻击者。
　　2．避免跳转攻击
　　原来的FTP规范[PR85]假定使用TCP进行数据链接，TCP端口号从0到1023时报留给一些众所周知的服务的，比如邮件，网络新闻和FTP控制链接。FTP规范对数据链接没有限制TCP端口号。因此，使用代理FTP，客户端就可以命令服务器去攻击任何机器上众所
　　周知的服务。
　　为了避免跳转攻击，服务器最好不要打开数据链接到小于1024的TCP端口号。如果服务器收到一个TCP端口号小于1024的PORT命令，那么可以返回消息504（对这种参数命令不能实现）。但要注意这样遗留下那些不知名服务（端口号大于1023）易受攻击。一些建议（例如[AOM98]和[Pis94]）提供了允许使用除了TCP以外的其他传输协议来建立数据连接的机制。当使用这些协议时，同样要注意采用类似的防范措施来保护众所周知的服务。
　　另外，我们注意到跳转攻击一般需要攻击者首先上载一个报文到FTP服务器然后再下载到准备攻击的服务端口上。使用适当的文件保护措施就可以阻止这种情况发生。然而攻击者也可能通过从远程FTP服务器发送一些能破坏某些服务的数据来攻击它。禁止使用PORT命令也是避免跳转攻击的一种方法。大多数文件传输可以仅通过PASV命令来实现。但这样做的缺点就是丧失了使用代理FTP的能力，当然代理FTP并不是在所有场合都需要的。
　　3．受限制的访问
　　一些FTP服务器希望有基于网络地址的访问控制。例如，服务器可能希望限制来自某些地点的对某些文件的访问（例如为了某些文件不被传送到组织以外）。在这种情况下，服务器在发送受限制的文件之前应该首先确保远程主机的网络地址在本组织的范围内，不管是控制连接还是数据连接。通过检查这两个连接，服务器就被保护避免了这种情况：控制连接用一台可信任的主机连接而数据连接不是。同样的，客户也应该在接受监听模式下的开放端口连接后检察远程主机的IP地址，以确保连接是由所期望的服务器建立的。
　　注意，基于网络地址的受限访问留下了FTP服务器易受“地址盗用(spoof)”攻击。在spoof攻击中，攻击机器可以冒用在组织内的机器的网络地址，从而将文件下载到在组织之外的未授权的机器上。只要可能，就应该使用安全鉴别机制，比如在[HL97]中列出的安全鉴别机制。
　　4．保护密码
　　为了减少通过FTP服务器进行强力密码猜测攻击的风险，建议服务器限制尝试发送正确的密码的次数。在几次尝试（3~5次）后，服务器应该结束和该客户的控制连接。在结束控制连接以前，服务器必须给客户端发送一个返回码421（“服务不可用，关闭控制连接”[PR85]）。另外，服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效性。若可能的话，目标操作系统提供的机制可以用来完成上述建议。
　　攻击者可能通过与服务器建立多个、并行的控制连接破坏上述的机制。为了搏击多个并行控制连接的使用，服务器可以限制控制连接的最大数目，或探查会话中的可疑行为并在以后拒绝该站点的连接请求。然而上述两种措施又引入了“服务否决”攻击，攻击者可以故意的禁止有效用户的访问。
　　标准FTP[PR85]在明文文本中使用“PASS”命令发送密码。建议FTP客户端和服务器端使用备用的鉴别机制，这种鉴别机制不会遭受比如，IETF公共鉴别技术工作组开发的机制[HL97]。
　　5．私密性
　　在FTP标准中[PR85]中，所有在网络上被传送的数据和控制信息（包括密码）都未被加密。为了保障FTP传输数据的私密性，应尽可能使用强壮的加密系统。在[HL97]中定义了一个这样的机制。
更多相关内容请访问：

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)