Вредоносное ПО (malware) - это назойливые или опасные программы,...
Протокол FTP является разновидностью протокола для передачи данных, который используется с целью
копирования и перемещения файлов в интернете и внутри TCP-сетей. FTP достаточно часто применяется с
целью загрузки страниц и документов различного типа на хостинговые компьютеры. Протокол FTP использует
архитектуру «клиент-сервер» и различные соединения внутри сети для того, чтобы передавать команды и
информацию от клиента к серверу и наоборот. Пользователям FTP разрешается проходить процедуру
аутентификации при помощи логина и пароля, либо же, если такая форма разрешена на сервере, пользователи
могут получать доступ в анонимном режиме.
Кроме обычного протокола, также применяется FTPS, представляющий собой особое расширение стандартного
FTP, которое дает возможность клиентам получать доступ к серверу и использовать зашифрованные сессии
передачи информации. Такой подход реализуется при помощи отправки команды аутентификации «auth tls», при
этом серверу разрешается принимать либо отклонять соединения, не запрашивающие TLS-соединений.
SFTP
SFTP является стандартом передачи информации в интернете, который предназначается для перемещения и
копирования файлов при помощи соединения повышенной надежности и безопасности SSH (Secure Shell). Данный
тип соединения может обеспечивать доступ и безопасную передачу, которая осуществляется с шифрованием как
логина и пароля, так и самого содержимого передачи, благодаря чему осуществляется предохранение паролей
и конфиденциальной информации от открытой передачи в сети.
В отличие от FTP, протокол SFTP, несмотря на схожие функции, пользуется другим протоколом передачи
данных, в связи с чем, стандартные клиенты не могут связываться с SFTP-серверами.
Особенности стандарта FTP
Этот стандарт представляет собой один из старейших сетевых протоколов, который был создан 45 лет назад и
достаточно широко применяется в интернете и сегодня. Одной из важнейших особенностей протокола выступает
использование нескольких соединений: одного с целью передачи управляющих команд, а других - для
непосредственного трансфера файлов. При этом можно открывать несколько параллельных соединений, каждое
из которых может осуществлять передачу данных в оба направления.
Существуют два режима работы FTP, которые отличаются способом установления соединений: пассивный и
активный. Во время активного режима сервер осуществляет установление соединения передачи информации к
пользователю, а во время пассивного - наоборот.
Данный стандарт используется уже достаточно давно и на первый взгляд является предельно простым. Но
такая простота бывает довольно обманчивой, так как большое количество пользователей могут испытывать
проблемы во время получения доступа по данному стандарту, особенно если сервер, либо пользователь
использует брандмауэр или NAT.
Особенности активного режима
Во время активного режима клиент инициирует управляющее соединение с серверным портом 21, передавая
команду «port», при помощи которой указывается адрес и порт трансфера информации. После получения этой
команды сервер запускает соединение собственного 20-го порта с указанным портом пользователя.
Основным недостатком данного метода является обязательное наличие у пользователя для работы выделенного
IP-адреса в интернете. Кроме того, некоторые проблемы могут возникнуть, если клиент находится за
брандмауэром либо NAT.
Особенности пассивного режима
Для того, чтобы установить пассивное соединение, пользователь должен передать серверу специальную
команду «pasv». В качестве ответа на эту команду сервер передает информацию об адресе и порте, с которым
клиент должен установить соединение. После получения этих данных, пользователь осуществляет подключение
к серверному компьютеру и проводит передачу информации.
При использовании пассивного режима абсолютно все соединения инициируются клиентом, в связи с чем
какие-либо требования к нему отсутствуют. Пользователю допускается пользоваться NAT и брандмауэром, а
также не использовать выделенный IP-адрес. Поэтому сегодня в качестве основной разновидности доступа и
передачи файлов по протоколу FTP в интернете используется именно пассивный режим.
Настройка в случае использования брандмауэра
При использовании брандмауэра и активного режима у пользователей могут возникнуть проблемы с доступом. В
случае настройки брандмауэра на отклонение не инициированных изнутри входящих соединений, серверному
компьютеру не удастся установить связь и начать передачу информации. А в связи с тем, что порт для
информации имеет динамическую разновидность, появляются и некоторые трудности во время настройки
брандмауэра. Оптимальным вариантом в данном случае является указание диапазона используемых портов, и
организация специального разрешающего правила брандмауэра для них.
В случае использования пассивного режима с подобной сложностью рискует столкнуться серверный компьютер.
При этом можно использовать аналогичное решение - указать в опциях некий диапазон используемых портов и
создать для этого диапазона специальное правило.
Настройка в случае использования NAT
Для корректного функционирования FTP через NAT и успешной передачи файлов недостаточно просто настроить
форвардинг рабочих портов, так как серверный компьютер, работающий из-под NAT, будет передавать
внутренний адрес порта, и у клиента просто не получится подключиться и совершить передачу
информации.
Некоторые современные реализации NAT могут следить за управляющим каналом FTP-соединения и подменять для
нормальной работы передачи данных внутренний адрес внешним. Кроме того, FTP-серверы имеют возможность
указывать внешний порт, который должен фигурировать в управляющей сессии.
Чаще всего для нормальной передачи файлов по протоколу FTP через NAT хватает проброса 21-го порта для
реализации управляющей сессии, а также указания и проброса диапазона динамических адресов, используемых
с целью передачи данных в интернете.
Один из старейших сетевых протоколов — это FTP. Для чего он предназначен, какова его роль в сетевом «общении» компьютеров, как работает данный протокол и стоит ли его использовать — ответы на все эти вопросы вы найдете в статье ниже.
В чем суть технологии FTP
Современный протокол FTP используют несколько по-другому, чем раньше. Изначально его разрабатывали для работы с большими объемами данных. Потому был придуман не только протокол FTP, но и FTP-архив. Сейчас последний стал глобальным хранилищем для множества файлов, размещенных на серверах по всему миру. Архив образован из большого количества FTP-серверов и есть специальные поисковые системы, которые позволяют искать данные по хостам, такие как Напалм или FileSearch.
Не во всякую часть FTP-архива может влезть посторонний пользователь через поисковик. Существует сервера с различным уровнем доступа. Многие знают FTP, как протокол, который нужен для загрузки сайта на хостинг, то есть который необходим для конфиденциального использования. Точно для таких же целей используют FTP-архив и для коммерческих организаций, которые хранят какую-то секретную информацию в них.
Но есть и множество публичных FTP-архивов, которые являются подобием файлообменников. Именно для таких архивов и созданы специальные поисковики — чтобы пользователи могли находить сразу файлы, а не статьи с долгим описанием программ или игр, вместо самих приложений.
Какое предназначение протокола FTP
Предназначен FTP протокол для передачи данных между клиентом и сервером. Он так и называется — «протокол передачи данных». Поскольку им пользуются уже очень давно, FTP вошел в число стандартов сети Intetnet. Впервые протокол был использован еще в 1971 году. За время существования он сильно изменился. Некоторые функции убрали, и сделали упор на том, что FTP хорошо подходит для обмена данными между удаленными компьютерами. Со временем его сделали более удобным для обычных пользователей. Ведь зайти в FTP-сервер можно как при помощи специальной программы, так и используя стандартные службы операционных систем. К примеру, вы даже сможете подключиться к серверу FTP при помощи стандартного проводника Windows.
Кроме того, FTP предназначен для распределения прав доступа между пользователями сервера. Разные пользователи сервера имеют свой набор прав. К примеру, одни могут только читать данные, а другие перемещать, переименовывать, редактировать и загружать файлы на хост. Поскольку создавать FTP-сервера так же просто, как пользоваться им, многие юзеры используют этот протокол для создания удаленного доступа к своим компьютерам.
Некоторые путают FTP и TCP. Хотя эти понятия невозможно сравнивать. FTP является протоколом, а TCP — это канал, по которому он работает. А устанавливается этот канал между устройством-сервером и устройством-клиентом. «Устройством», а не компьютером, потому что FTP можно использовать и на смартфонах при помощи специальных программ, не только на ПК.
Учтите, что FTP — хороший протокол для работы на удаленном компьютере, если вам нужно загружать туда какие-то данные, или наоборот — скачивать их.
Но для передачи конфиденциальной информации этот протокол совсем не подходит. Именно поэтому разработчики сервиса Яндекс Диск отказались использовать FTP в качестве основного протокола, и выбрали вместо него WebDAV. FTP является открытым протоколом, который не шифрует данных. И даже если вы установите парольную аутентификацию для клиентов на сервере, данные, которые они введут при авторизации, будут переданы на хост открытым текстом. То есть стоит их перехватить, и злоумышленники смогут проникнуть на сервер.
Как работает FTP протокол
В целом, модель работы FTP протокола очень простая, потому у вас не должны появиться проблемы во время его использования. Самая банальная модель — это когда пользователь использует программу-интерпретатор. При помощи нее можно все команды выполнять в удобном интерфейсе, потому не придется знать их и вводить в терминал. Вы отдаете команды в интерпретатор, а он по управляющему соединению передает их на сервер. Управляющее соединение работает в протоколе TELNET. Таким образом, устанавливая контакт с интерпретатором сервера, пользователь авторизуется на хосте и получает возможность использовать больше команд.
От набора команд, передаваемых по управляющему соединению, зависит поведение сервера и клиента, а также процесс передачи данных. Кроме того, при помощи команд можно управлять файловой системой клиента и сервера.
Для передачи данных используется другой канал, отличный от управляющего. Но последний инициирует вызов соединения для передачи данных. Принцип работы соединения передачи данных отличается от порядка работы управляющего канала, потому как сервер инициирует обмен файлами и данными. Хотя данное соединение может быть использовано в обоих направлениях: и для приема, и для передачи данных.
А вот в чем заключается общий алгоритм работы для любого протокола FTP на сервере:
- Сервер всегда находится в некотором состоянии ожидания со стороны пользователя. В любой момент клиент может подключиться к серверу, потому управляющий канал держит открытым 21-й порт. Именно по нему переходят все управляющие команды. Порт 21 установлен по умолчанию, но его могут изменить. Тогда пользователю придется вводить номер порта вручную, иначе он не сможет выйти на управляющий канал.
- После соединения через порт канала управления, программа со стороны клиента может отдавать команды интерпретатору сервера. Эти команды определяют как изменения внутри файловой системы сервера, так и способ передачи данных, их содержание, объем, тип режима работы и многое другое.
- После того, как все команды для передачи данных согласованы, один из участников соединения становится в пассивный режим ожидания (сервер или клиент). Он ждет, пока ему выдадут номер порта, чтобы открыть его и получить или отправить данные по нему.
- После окончания процесса передачи данных соединение закрывается, но управляющий канал по-прежнему остается открытым. Это позволяет пользователю все проделать снова: дать команду серверу и вновь начать передачу данных. При этом не нужно заново создавать сессию. Потому-то FTP и работает при помощи двух типов соединения.
Поскольку это самая банальная модель работы протокола FTP, бывают и более сложные случаи. К примеру, когда не пользователь работает с сервером, а сервер с сервером. При этом клиент управляют передачей данных напрямую между серверами, без посредников. И подобных примеров конфигурацией сервер-клиент можно привести большое множество. В этом кроется одно из преимуществ протокола FTP — гибкость работы.
Главное, что нужно понять в работе FTP протокола — это взаимодействие соединений и портов. Большинство ошибок во время работы по этому протоколу связаны с тем, что одна из сторон соединения не настроила свой порт. Есть пассивная и активная сторона протокола. Пассивная должна внимательно слушать и дожидаться, пока активная не передаст номер порта, который тут же нужно открыть. Если порт не будет открыт, передача данных не начнется.
Не думайте, что вы должны вручную ждать какие-то команды от активного участника соединения — это все делается автоматически. Проблемы появляются, когда, к примеру, у вас на компьютере уже занят тот или иной порт, либо заблокирован для входящих/исходящих соединений. Вот в такие моменты придется «закатать рукава», и вручную настроить компьютер, чтобы он мог корректно работать при помощи FTP.
Какие команды использует FTP протокол
Скорее всего, вам они в работе не понадобятся, поскольку вы будете использовать юзер-агент в виде программы с удобным интерфейсом. Одна из таких программ — это FileZIlla. Но всякое бывает. Возможно, у вас под рукой будет только Far Maneger, где все необходимо делать через терминал. В таком случае вы должны познакомиться с основными командами для FTP.
Чтобы подключиться к серверу, вам придется воспользоваться командой USER. Она необходима, чтобы обозначить имя юзера, который хочет открыть сессию с сервером. После того, как вы введете идентификатор пользователя в команде USER, вам нужно прописать пароль для входа. Для этого используйте специальную команду — PASS.
Одна из самых популярных функций, при помощи которой вы сможете «путешествовать» по серверу — это CWD. Команда нужна для того, чтобы вы могли перемещаться между директориями сервера. Чтобы воспользоваться командой, введите CWD и путь каталога, в который вы хотите попасть.
Если в каком-то случае вам необходимо провести реинициализацию, то есть опустить все данные и настройки текущего соединения, то используйте команду REIN. Во время ее использования передача данных не прекращается, и параметры передачи остаются прежними, какими были до команды REIN. Либо можете сделать это еще более радикальным способом — закрыть управляющее соединение при помощи команды QUIT. Она также не прерывает передачу данных, и только после окончания загрузки сессия полностью прерывается.
Для того, чтобы прописать порт в активном режиме, то есть назначить его для пассивного участника, вам нужно воспользоваться командой PORT. Проблема в том, что эта команда очень сложная для написания — вам нужно будет указать 32 бита IP сервера и 16 бит номера порта, что совсем неудобно. Потому лучше найдите способ использовать упрощенный клиент для работы по FTP протоколу, чтобы сильно не нагружать себя. В подобном клиенте изменить номер порта — это плевое дело. Достаточно зайти в настройки, найти нужный пункт и вписать в него другую цифру вместо текущей.
Команды RETR и STOR вы будете использовать для того, чтобы передавать данные с сервера и на сервер. Первая команда нужна для того, чтобы отправить выделенный файл на устройство клиента, а вторая — на сервер. А чтобы переименовать файл, вам нужно использовать две последовательные команды. Сначала пропишите RNFR со старым именем файла, а затем RNTO, указав новое имя файла. Также вам понадобится команда DELE, которая нужна для удаления данных с файловой системы, точнее того файла, который выделен в текущий момент.
Для удаления каталогов используются другие команды. Чтобы удалить выделенный каталог, вам понадобится команда RMD. А чтобы создать новую папку, используйте строку MKD. Также пользователям часто нужна функция просмотра файлов, которые имеются в каталоге. Для этого используйте команду LIST, либо NLST.
Какие есть аналоги у FTP
У протокола передачи данных FTP есть его прямые «наследники», то есть протоколы, которые образованы из ФТП. Это два протокола: TFTP и SFTP. Первый протокол не самый популярный, потому как сильно ограничен в плане команд. Он гораздо хуже подходит для управления файловой системой сервера, чем FTP. Вы не сможете даже просмотреть список файлов каталога при помощи него. Нужен TFTP только для передачи простейшей 8-битной информации, не более. И в этом протоколе есть всего 5 команд, которые нужны для чтения, записи, запроса пакета данных и других простых операций.
А вот протокол SFTP куда более удачный, чем TFTP и в некоторых случаях — чем FTP. Дело в том, что это защищенный FTP протокол. Он является комбинацией шифрованного SSH соединения и протокола передачи данных FTP. Кроме того, в SFTP многие лишние функции исключены, которые были введены в FTP уже давно, но никем не используются. Потому SFTP и безопаснее, чем FTP, и при этом скромнее в хорошем смысле этого слова. Рекомендуется выбирать именно SFTP в тех случаях, когда вы работаете с какими-то конфиденциальными данными. Тогда даже если хакеры и перехватят отправляемые данные по управляющему соединению, они все равно будут зашифрованными и никакой ценности взломщикам не принесут.
И лучше используйте FTP протокол в нормальных программах-клиентах, а не в терминале. Ведь так вы значительно ускорите работу по протоколу передачи данных и получите доступ к более изощренным его функциям.
FTP (англ. File Transfer Protocol - протокол передачи файлов) - стандартный протокол, предназначенный для передачи файлов по TCP-сетям (например, Интернет). FTP часто используется для загрузки сетевых страниц и других документов с частного устройства разработки на открытые сервера хостинга.
Протокол построен на архитектуре "клиент-сервер" и использует разные сетевые соединения для передачи команд и данных между клиентом и сервером. Пользователи FTP могут пройти аутентификацию, передавая логин и пароль открытым текстом, или же, если это разрешено на сервере, они могут подключиться анонимно. Можно использовать протокол SSH для безопасной передачи, скрывающей (шифрующей) логин и пароль, а также шифрующей содержимое.
Достаточно яркая особенность протокола FTP в том, что он использует множественное (как минимум - двойное) подключение. При этом один канал является управляющим, через который поступают команды серверу и возвращаются его ответы (обычно через TCP-порт 21), а через остальные происходит собственно передача данных, по одному каналу на каждую передачу. Поэтому в рамках одной сессии по протоколу FTP можно передавать одновременно несколько файлов, причём в обоих направлениях. Для каждого канала данных открывается свой TCP порт, номер которого выбирается либо сервером, либо клиентом, в зависимости от режима передачи.
Протокол FTP имеет двоичный режим передачи, что сокращает накладные расходы трафика и уменьшает время обмена данными при передаче больших файлов. Протокол же HTTP обязательно требует кодирования двоичной информации в текстовую форму, например при помощи алгоритма Base64.
Начиная работу через протокол FTP, клиент входит в сессию, и все операции проводятся в рамках этой сессии (проще говоря, сервер помнит текущее состояние). Протокол HTTP ничего не "помнит" - его задача - отдать данные и забыть, поэтому запоминание состояния при использовании HTTP осуществляется внешними по отношению к протоколу методами.
FTP работает на прикладном уровне модели OSI и используется для передачи файлов с помощью TCP/IP. Для этого должен быть запущен FTP-сервер, ожидающий входящих запросов. Компьютер-клиент может связаться с сервером по порту 21. Это соединение (поток управления) остаётся открытым на время сессии. Второе соединение (поток данных), может быть открыт как сервером из порта 20 к порту соответствующего клиента (активный режим), или же клиентом из любого порта к порту соответствующего сервера (пассивный режим), что необходимо для передачи файла данных. Поток управления используется для работы с сессией - например, обмен между клиентом и сервером командами и паролями с помощью telnet-подобного протокола. Например, "RETR имя файла" передаст указанный файл от сервера клиенту. Вследствие этой двухпортовой структуры, FTP считается внешнеполосным протоколом, в отличие от внутриполосного HTTP.
Соединение и передача данных
Протокол определен в RFC 959. Сервер отвечает по потоку управления трехзначными ASCII-кодами состояния с необязательным текстовым сообщением. Например, "200" (или "200 ОК") означает, что последняя команда была успешно выполнена. Цифры представляют код ответа, а текст - разъяснение или запрос. Текущая передача по потоку данных может быть прервана с помощью прерывающего сообщения, посылаемого по потоку управления.
FTP может работать в активном или пассивном режиме, от выбора которого зависит способ установки соединения. В активном режиме клиент создаёт управляющее TCP-соединение с сервером и отправляет серверу свой IP-адрес и произвольный номер клиентского порта, после чего ждёт, пока сервер не запустит TCP-соединение с этим адресом и номером порта. В случае, если клиент находится за брандмауэром и не может принять входящее TCP-соединение, может быть использован пассивный режим. В этом режиме клиент использует поток управления, чтобы послать серверу команду PASV, и затем получает от сервера его IP-адрес и номер порта, которые затем используются клиентом для открытия потока данных с произвольного клиентского порта к полученному адресу и порту. Оба режима были обновлены в сентябре 1998 г. для поддержки IPv6. В это время были проведены дальнейшие изменения пассивного режима, обновившие его до расширенного пассивного режима.
При передаче данных по сети могут быть использованы четыре представления данных:
ASCII - используется для текста. Данные, если необходимо, до передачи конвертируются из символьного представления на хосте-отправителе в "восьмибитный ASCII", и (опять же, если необходимо) в символьное представление принимающего хоста. Как следствие, этот режим не подходит для файлов, содержащих не только обычный текст.
Режим изображения (обычно именуемый бинарным) - устройство-отправитель посылает каждый файл байт за байтом, а получатель сохраняет поток байтов при получении. Поддержка данного режима была рекомендована для всех реализаций FTP.
EBCDIC - используется для передачи обычного текста между хостами в кодировке EBCDIC. В остальном, этот режим аналогичен ASCII-режиму.
Локальный режим - позволяет двум компьютерам с идентичными установками посылать данные в собственном формате без конвертации в ASCII.
Для текстовых файлов предоставлены различные форматы управления и настройки структуры записи. Эти особенности были разработаны для работы с файлами, содержащими Telnet или ASA-форматирование.
Передача данных может осуществляться в любом из трёх режимов:
Поточный режим - данные посылаются в виде непрерывного потока, освобождая FTP от выполнения какой бы то ни было обработки. Вместо этого, вся обработка выполняется TCP. Индикатор конца файла не нужен, за исключением разделения данных на записи.
Блочный режим - FTP разбивает данные на несколько блоков (блок заголовка, количество байт, поле данных) и затем передаёт их TCP.
Режим сжатия - данные сжимаются единым алгоритмом (обыкновенно, кодированием длин серий).
Аутентификация
FTP-аутентификация использует обычную схему имя пользователя/пароль для предоставления доступа. Имя пользователя посылается серверу командой USER, а пароль - командой PASS. Если предоставленная клиентом информация принята сервером, то сервер отправит клиенту приглашение и начинается сессия. Пользователи могут, если сервер поддерживает эту особенность, войти в систему без предоставления учётных данных, но сервер может предоставить только ограниченный доступ для таких сессий.
Анонимный FTP
Хост, обеспечивающий FTP-сервис, может предоставить анонимный доступ к FTP. Пользователи обычно входят в систему как "anonymous" в качестве имени пользователя. Хотя обычно пользователей просят прислать адрес их электронной почты вместо пароля, никакой проверки фактически не производится. Многие FTP-хосты, предоставляющие обновления программного обеспечения, поддерживают анонимный доступ.
NAT - PT
Специально для работы FTP-протокола через межсетевые экраны было сделано расширение NAT, называемое NAT-PT (rfc2766), позволяющее транслировать входящие соединения от сервера к клиенту через NAT. В процессе такого соединения NAT подменяет передаваемые данные от клиента, указывая серверу истинный адрес и порт, с которым сможет соединиться сервер, а потом транслирует соединение от сервера от этого адреса клиенту на его адрес. Несмотря на все меры и нововведения, принятые для поддержки FTP-протокола, на практике функция NAT-PT обычно отключается во всех роутерах и маршрутизаторах с целью обеспечения дополнительной безопасности от вирусных угроз.
NAT и обход брандмауэров
FTP обычно передает данные при наличии соединения сервера с клиентом, после того как клиент отправил команду PORT. Это создает проблему как для NAT, так и для брандмауэров, которые не разрешают соединения из интернета к внутренним хостам. Для NAT дополнительной проблемой является то, что представление IP-адресов и номера порта в команде PORT относится к IP-адресу и порту внутреннего хоста, вместо публичного IP-адреса и NAT-порта. Существует два подхода к этой проблеме. Первый заключается в том, что FTP-клиент и FTP-сервер используют команду PASV, которая вызывает соединение для передачи данных, установленное от клиента к серверу. Второй подход - изменение для NAT значений команды PORT с помощью шлюза на прикладном уровне.
Поддержка веб-браузерами
Большая часть обычных веб-браузеров может извлекать файлы, расположенные на FTP-серверах, хотя они могут не поддерживать расширения протоколов вроде FTPS. Когда указан FTP-адрес, а не HTTP-адрес, доступный контент на удалённом сервере представляется аналогично остальному веб-контенту. Полностью функциональный FTP-клиент может быть запущен в Firefox как расширение FireFTP.
Безопасность
FTP не разрабатывался как защищённый (особенно по нынешним меркам) протокол и имеет многочисленные уязвимости в защите. В мае 1999 авторы RFC 2577 свели уязвимости в следующий список проблем:
Скрытые атаки (bounce attacks)
Спуф-атаки (spoof attacks)
Атаки методом грубой силы (brute force attacks)
Перехват пакетов, сниффинг (packet capture, sniffing)
Защита имени пользователя
Захват портов (port stealing)
FTP не может зашифровать свой трафик, все передачи - открытый текст, поэтому имена пользователей, пароли, команды и данные могут быть прочитаны кем угодно, способным перехватить пакет по сети. Эта проблема характерна для многих спецификаций Интернет-протокола (в их числе SMTP, Telnet, POP, IMAP), разработанных до создания таких механизмов шифрования, как TLS и SSL. Обычное решение этой проблемы - использовать "безопасные", TLS-защищенные версии уязвимых протоколов (FTPS для FTP, TelnetS для Telnet и т.д.) или же другой, более защищённый протокол, вроде SFTP/SCP, предоставляемого с большинством реализаций протокола Secure Shell.
Безопасный FTP
Существует несколько методов безопасной передачи файлов, в одно или другое время называемых "Безопасным FTP": FTPS, SFPS, FTP через SSH.
Явный FTPS - расширение стандарта FTP, позволяющее клиентам требовать того, чтобы FTP-сессия была зашифрована. Это реализуется отправкой команды "AUTH TLS". Сервер обладает возможностью позволить или отклонить соединения, которые не запрашивают TLS. Это расширение протокола определено в спецификации RFC 4217. Неявный FTPS - устаревший стандарт для FTP, требующий использования SSL- или TLS-соединения. Этот стандарт должен был использовать отличные от обычного FTP порты.
SFTP, или «SSH File Transfer Protocol», не связан с FTP, за исключением того, что он тоже передаёт файлы и имеет аналогичный набор команд для пользователей. SFTP, или безопасный FTP, - это программа, использующая SSH (Secure Shell) для передачи файлов. В отличие от стандартного FTP он шифрует и команды, и данные, предохраняя пароли и конфиденциальную информацию от открытой передачи через сеть. По функциональности SFTP похож на FTP, но так как он использует другой протокол, клиенты стандартного FTP не могут связаться с SFTP-сервером и наоборот.
FTP через SSH (не SFTP )
FTP через SSH (не SFTP) относится к практике туннелирования обычной FTP-сессии через SSH-соединение. Поскольку FTP использует несколько TCP-соединений, туннелирование через SSH особенно затруднительно. Когда много SSH-клиентов пытаются установить туннель для канала управления (изначальное "клиент-сервер" соединение по порту 21), защищён будет только этот канал; при передаче данных программное обеспечение FTP на любом конце установит новые TCP-соединения (каналы данных), которые обойдут SSH-соединение и, таким образом, лишатся целостной защиты.
Иначе, для клиентского программного обеспечения SSH необходимо иметь определённые знания о FTP для отслеживания и перезаписи сообщений потока управления FTP и автономного открытия новых перенаправлений для потока данных FTP.
FTP через SSH иногда относят к безопасным FTP; но не стоит путать его с другими методами, такими как SSL/TLS (FTPS). Другие методы передачи файлов с помощью SSH и не связанные с FTP - SFTP и SCP; в каждом из них и учётные и файловые данные всегда защищены протоколом SSH.
FXP (англ. File eXchange Protocol - протокол обмена файлами) - способ передачи файлов между двумя FTP-серверами напрямую, не закачивая их на свой компьютер. При FXP-сессии клиент открывает два FTP-соединения к двум разным серверам, запрашивая файл на первом сервере, указывая в команде PORT IP-адрес второго сервера.
Несомненным преимуществом поддержки стандарта FXP является то, что на конечных пользователей, желающих скопировать файлы с одного FTP-сервера на другой, уже не действует ограничение пропускной способности их собственного интернет-соединения. Нет необходимости скачивать себе файл, чтобы потом загрузить его на другой FTP-сервер. Таким образом, время передачи файлов будет зависеть только от скорости соединения между двумя удаленными FTP-серверами, которая в большинстве случаев заведомо больше «пользовательской».
FXP стал использоваться злоумышленниками для атак на другие серверы: в команде PORT указывается IP-адрес и порт атакуемого сервиса на компьютере жертвы, и командами RETR/STOR производится обращение на этот порт от лица FTP-сервера, а не атакующей машины, что позволяло устраивать масштабные DDoS-атаки с использованием сразу многих FTP-серверов, либо обходить систему безопасности компьютера жертвы, если он полагается только на проверку IP клиента и используемый для атаки FTP-сервер находится в доверенной сети или на шлюзе. В результате сейчас практически все серверы проверяют соответствие IP-адреса, указанного в команде PORT, IP-адресу FTP-клиента и по умолчанию запрещают использование там IP-адресов третьих сторон. Таким образом, использование FXP невозможно при работе с публичными FTP-серверами.
Основные команды
ABOR - Прервать передачу файла
CDUP - Сменить директорию на вышестоящую.
CWD - Сменить директорию.
DELE - Удалить файл (DELE filename).
EPSV - Войти в расширенный пассивный режим. Применяется вместо PASV.
HELP - Выводит список команд, принимаемых сервером.
LIST - Возвращает список файлов директории. Список передаётся через соединение данных.
MDTM - Возвращает время модификации файла.
MKD - Создать директорию.
NLST - Возвращает список файлов директории в более кратком формате, чем LIST. Список передаётся через соединение данных.
NOOP - Пустая операция
PASV - Войти в пассивный режим. Сервер вернёт адрес и порт, к которому нужно подключиться, чтобы забрать данные. Передача начнётся при введении следующих команд: RETR, LIST и т.д.
PORT - Войти в активный режим. Например PORT 12,34,45,56,78,89. В отличие от пассивного режима для передачи данных сервер сам подключается к клиенту.
PWD - Возвращает текущую директорию.
QUIT - Отключиться
REIN - Реинициализировать подключение
RETR - Скачать файл. Перед RETR должна быть команда PASV или PORT.
RMD - Удалить директорию
RNFR и RNTO - Переименовать файл. RNFR - что переименовывать, RNTO - во что.
SIZE - Возвращает размер файла
STOR - Закачать файл. Перед STOR должна быть команда PASV или PORT.
SYST - Возвращает тип системы (UNIX, WIN, …)
TYPE - Установить тип передачи файла (бинарный, текстовый)
USER - Имя пользователя для входа на сервер
Если вы достаточно давно читаете этот блог, то можете помнить о том, как я решил собрать в нем описание популярных (и не очень) сетевых протоколов. Зачем это мне нужно, можно прочитать в статье Достаточно полное описание протокола SMTP . Вот решил пополнить коллекцию протоколом FTP, повсеместно используемым для передачи файлов.
1. Заходим
По традиции, сразу начну с примера:
$ telnet example.ru 21
Trying 192.168.0.1...
Connected to example.ru.
Escape character is "^]".
220-Welcome to Pure-FTPd
You are user number 5 of 100 allowed.
Local time is now 17:41. Server port: 21.
220 You will be disconnected after 15 minutes of inactivity.
USER afiskon
331 User afiskon OK. Password required
PASS lamepassword
230-User afiskon has group access to: coders
230 OK. Current restricted directory is /
FTP-сервер обычно работает на 21 порту. В приведенном примере строки, начинающиеся с цифр, посылаются сервером, остальные — клиентом. Запросы клиента всегда состоят из одной строки формата КОМАНДА [аргументы] , в то время как ответы сервера могут содержать несколько строк.
Первая и последняя строки начинается с трех цифр, представляющих собой код ответа, за которыми идет текстовое описание ответа, отделенное от кода либо пробелом, либо тире. Если в качестве разделителя используется пробел, значит строка является последней в ответе (и, возможно, единственной), иначе — мы получили первую строку многострочного ответа. Где-то мы это уже видели , не так ли?
Существует пять групп ответов сервера:
Как видно из примера, все начинается с посылки сервером кода 220. Затем пользователь должен залогиниться с помощью команд USER и PASS. Если все сделано правильно, на первую сервер ответит кодом 331, а на вторую — 230. Для анонимного входа (если он разрешен настройками сервера), в качестве имени пользователя следует указать «anonymous», а в качестве пароля — свой e-mail. На практике обычно посылается либо пустой e-mail, либо что-то типа [email protected].
Как видно, пароль передается в открытом виде, потому крайне желательно шифровать FTP-соединение с помощью SSL (это называется FTPS — FTP плюс SSL), а еще лучше — передавать файлы по SSH с помощью утилит scp, sftp или WinSCP . Первые две есть в любой unix-системе и используют для передачи файлов одноименные протоколы, работающие поверх SSH. WinSCP написан для Windows и внешне напоминает Total Commander, умеет работать как с устаревшим SCP (Secure Copy), так и SFTP (SSH File Transfer Protocol), появившимся только в SSH-2.
2. Осматриваемся
Но что-то меня не в ту степь понесло. После прохождения аутентификации (надо же, больше не путаю с авторизацией ) FTP-сервер с радостью выполнит наши команды. Вот их список:
| Команда | Ожидаемый код | Описание |
| DELE | 250 | Удалить файл |
| RMD | 250 | Удалить директорию |
| CWD | 250 | Перейти в директорию |
| MKD | 257 | Создать директорию |
| PWD | 257 | Узнать текущую директорию |
| QUIT | 221 | Закончить работу |
| TYPE | 200 | Установить тип передачи |
| PORT | 200 | Перейти в активный режим |
| PASV | 227 | Перейти в пассивный режим |
| LIST | 150, 226 | Получить содержимое каталога |
| RETR | 150, 226 | Скачать файл |
| STOR | 150, 226 | Залить файл |
| ABOR | 426,226 | Отменить передачу |
| RNFR | 350 | Выбрать файл для переименования |
| RNTO | 250 | Переименовать файл |
Здесь я перечислил лишь основные команды, которых достаточно для написания полноценного FTP-клиента. Дело в том, что в реальных условиях FTP-серверы очень избирательно относятся к поддержке команд, описанных в RFC959 и RFC3659 . Так что, если мы хотим получить действительно работающее приложение, а не сферического коня в вакууме, придется ограничиться лишь командами из приведенного списка.
Самые простые команды — это QUIT, DELE, MKD, CWD и RMD . Просто командуем и проверяем код, возвращаемый сервером. Если он равен ожидаемому, значит все ОК, если нет — обрабатываем ошибку.
MKD ftp_test
257 "ftp_test" : The directory was successfully created
CWD ftp_test
250 OK. Current directory is /ftp_test
CWD ..
250 OK. Current directory is /
RMD ftp_test
250 The directory was successfully removed
Если бы я писал FTP-клиент, то код, отвечающий за выполнение названных команд, выглядел бы примерно так:
int
code;
char
*
dir;
// ...
if
(code =
rawcmd(250
,
"RMD %s\r
\n
"
,
dir)
)
printf
("Error: %d\n
"
,
code)
;
else
printf
("All done!\n
"
)
;
Чуть сложнее с парсингом ответа сервера на команду PWD :
PWD
257 "/ftp_test" is your current location
Текущая директория передается в единственной (последней?) строке ответа сервера, заключенная в двойные кавычки. Если полное имя текущей директории содержит двойные кавычки, они заменяются на две кавычки:
PWD
257 "/ftp""test" is your current location
Для переименования файлов используется пара команд — RNFR и RNTO :
RNFR old_file.zip
350 Are you kidding?
RNTO new_file.zip
250 Done!
По всей видимости, это такая оптимизация, чтобы буфер, в который сервер читает команды клиента, был порядка максимально допустимой длины полного имени файла, а не в два раза больше. В 1971-м году, когда был создан протокол, это могло быть важно.
Команда TYPE позволяет установить режим передачи файлов. Пример:
TYPE E
200 TYPE is now EBCDIC
TYPE A
200 TYPE is now ASCII
TYPE I
200 TYPE is now 8-bit binary
Насколько я могу судить, сегодня эта команда уже устарела и все данные можно спокойно передавать в бинарном формате (TYPE I). Цитата из Википедии :
Первые компьютеры использовали формат, размером в байт, машинное слово, двойное машинное слово, не кратное 8. Обычно они были кратны шести. Восемь бит в байте было принято при разработке системы машинных команд для IBM System/360. Это стало международным стандартом и с начала 1970-х большинство компьютеров использует байты, состоящие из 8 бит, и машинные слова, кратные 8.
3. Действуем
Особенность протокола FTP — для выполнения команд и передачи файлов используются разные соединения. Это в общем-то нормальное проектное решение. Мы же не знаем, что там в этих файлах записано, а если передавать их вместе с командами, придется как-то кодировать содержимое файла, чтобы отличить его от команд. Зачем увеличивать объем трафика и усложнять протокол, когда можно просто открыть новое соединение и послать файл, как есть?
При установлении нового соединения кто-то должен собственно соединяться, а кто-то соединение принимать. Если клиент открывает порт, а сервер коннектится к нему, режим передачи файла называется активным. В обратном случае — пассивным. За счет того, что многие пользователи Интернета сегодня сидят за NAT, обычно используется пассивный режим. И это не очень хорошо, потому что число портов у сервера ограничено.
Что интересно — существует возможность передавать файлы с одного FTP-сервера на другой напрямую. Но поскольку такая возможность часто использовалась в DDoS-атаках, сейчас она практически везде отключена.
Для перехода в пассивный режим используется команда PASV , для перехода в активный — PORT :
PORT 192,168,10,1,21,133
200 PORT command successful
PASV
227 Entering Passive Mode (192,168,0,1,21,216)
Как несложно догадаться, с помощью цифр кодируется IP-адрес и порт для соединения. Допустим, мы находимся в пассивном режиме и хотим установить соединение для передачи данных:
$ telnet 192.168.0.1 `expr 21 \* 256 + 216`
Trying 192.168.0.1...
Connected to example.ru.
Escape character is "^]".
После чего можем, например, просмотреть содержимое текущего каталога, заюзав команду LIST :
LIST
150 Accepted data connection
226-Options: -a -l
226 5 matches total
Смотрим на вывод telnet:
drwx------ 5 afiskon coders 512 Jul 7 11:35 .
drwx------ 5 afiskon coders 512 Jul 7 11:35 ..
drwxr--r-- 3 afiskon coders 512 Jun 6 14:30 сайт
drwxr-xr-x 2 afiskon coders 1024 Jul 7 00:16 logs
drwxr--r-- 2 afiskon coders 512 Jun 6 14:30 tmp
Connection closed by foreign host.
Абсолютно аналогично происходит скачивание и аплоад файлов, только используются команды RETR {файл} и STOR {файл} соответственно. Команды RETR, STOR и LIST можно прервать в процессе выполнения с помощью команды ABOR , в ответ на которую сервер должен ответить 426 «передача прервана», а затем — 226 «отмена операции произошла успешно».
4. Заключение
На этом я, пожалуй, закончу свое повествование. Получилось 9 Кб текста против 130 Кб RFC959 . По этой статье вполне можно написать несложный FTP клиент или сервер, я проверял! Самое главное — это протестировать его на совместимость с максимально возможным количеством ПО, поскольку, как я уже отмечал, в мире FTP мало кто строго следует RFC. Ну и последнее — помните золотое правило «Be liberal with input, strict with output».
Обмен данными появился до Интернета. Но возникновение Всемирной сети расширило область задач по обмену информацией. Протокол FTP является основным, наравне с mail и www.
Он обеспечивает передачу информации, а не доступ к файлам. Передача по ФТП изначально не являлась безопасной, но протокол FTPS, работающий в зашифрованном канале SSL-протокола, обеспечивает передачу данных безопасно. Это позволяет защитить как команды, так и передаваемые данные.
Описание протокола FTPS
Серверы FTPS предоставляют сертификаты публичного ключа. Как правило, они создаются с использованием инструментов Unix или адаптированных инструментов для Windows, например, OpenSSL.
Каждый сертификат должен быть подписан центром сертификации. В ином случае, клиент FTPS формирует предупреждение.
Данные возможно кодировать на канальном уровне (команды и/или данные). Протокол FTPS использует два соединения:
- одно передает данные;
- другое - команды серверу и ответы сервера на них.
Если применено шифрование на базе SSL, сведения о номере порта для обмена данными будут недоступны.
Доступ по протоколу FTP - это применение свода правил, описывающих соединения компьютеров и управление соединениями, файлами, передачей файлов.
Протокол определяет, как различные компьютеры могут одновременно (удаленно) использовать файлы в общей сети. Интернет-протокол FTP построен таким образом, чтобы предоставить различным вычислительным платформам, работающим под разными операционными системами, возможность эффективно обмениваться любыми типами файлов.
Протокол FTPS позволяет обмениваться как бинарными, так и текстовыми файлами, причем формат кодирования не имеет особого значения. Важно, что он понятен отправляющей и получающей стороне.
Работа FTPS-сервера
Обычно подключение по FTPS осуществляется посредством специальных программ, в частности, WinSCP, Far, Total Comander, FileZilla и пр. Строка подключения выглядит так:
- Протокол:// Имя@Хост: пароль @ хост. ru: 21 .
Каждая программа, обеспечивающая соединение, предлагает заполнять актуальные поля по-своему. Но для любого подключения необходимо знать:
- имя подключения (логин, ник);
- пароль для подключения;
- имя хоста FTP/FTPS;
- номер порта.
Возможны и анонимные подключения по FTP/FTPS, но особого практического значения они не имеют.
Клиент FTPS может установить соединение с сервером в явном или неявном режимах.
В первом случае сначала устанавливается обычное соединение FTP. Для отправки конфиденциальной информации, такой как пароли, клиент отправляет запрос на переключение на защищенное соединение FTP. После успешного согласования (SSL) между сторонами соединения (сервер, клиент) устанавливается защищенный командный канал.
А во втором случае клиент и сервер начинают обмен данными в защищенном режиме. Текстовая информация при этом передается в зашифрованном формате.
Активный и пассивный FTP
Работа с FTP-сервером может быть двух видов:
- Активной. Тогда инициируется передача информации, клиент прослушивает TCP-порт и передает данные серверу: какой порт он прослушивает. Сервер открывает TCP-соединение на порт, указанный клиентом. Затем данные направляются через это соединение.
- Пассивной. Клиент сообщает серверу о готовности к передаче данных, и сервер начинает следить за неспециальным TCP-портом, сообщая клиенту, за каким именно. Затем клиент открывает TCP-соединение на порт, указанный сервером, и обмен данными происходит через это соединение.
Подключение по FTP
Принято для доступа к FTP-ресурсам использовать специальные программы, обеспечивающие протокол передачи FTP. Но иногда нужно получить полный контроль над сервером и использовать команды этого протокола по собственному плану.
В частности, это можно сделать в среде Windows, введя команду:
- ftp «Имя Сервера».
В результате этого будет предложено ввести имя и пароль, известные серверу «Имя Сервера». Естественно, что в этом имени нет никаких кавычек, никаких русских букв. То есть это обычное наименование веб-ресурса, выступающего как FTP-сервер.
Следует отметить, что FTP-сервер может предоставлять не один доступ и иметь не один ресурс. Обычно пара - имя/пароль - обеспечивает доступ к конкретной файловой системе конкретного файлового архива или сайта.
По большому счету, FTP давно уже используется для доступа к файловой системе сайта, а не для загрузки/выгрузки хранящихся данных. Передача их по-прежнему актуальна, но в последнее время все чаще разрабатываются инструменты для работы с сайтами, которые позволяют вести разработку веб-ресурсов на локальном сервере и обеспечивать синхронизацию локальной файловой системы с одноименной системой, находящейся на хостинге.
В таком контексте FTP-доступ обеспечивает доступ к корню сайта, позволяя манипулировать его страницами: редактировать, добавлять, удалять.
Пример: соединение с FTP-сервером
В данном примере (желтый фон) вводится команда ftp на компьютере клиента в операционной системе Windows. Сервер сообщает свои данные и предлагает указать имя пользователя. В этом случае (зеленый фон), именем является «SCi_WMiX_22G(a)wmix.isv.by».
Доступ не является анонимным, и сервер запрашивает пароль. Для проверки, после успешного подключения вводится команда «ls» - просмотр текущей директории.
Обычно сетевой протокол FTP не применяется на таком низком уровне. Гораздо удобнее использовать предназначенные для этого специальные программы. Практически все они обеспечивают удобное и безопасное подключение и дают возможность передавать/принимать файлы, создавать папки, перемещаться по ним, удалять их и совершать обычные операции привычным образом, как на локальной файловой системе.
Команды FTP/FTPS
Протокол FTPS совершенствуется, потому далеко не всегда точный перечень команд и их наименования (полученные в поиске по интернет-ресурсам) будут соответствовать инструменту, которым приходится пользоваться для доступа к FTP-ресурсу.
Лучший способ определить перечень доступных возможностей - ввести команду help.
Кстати, использование протокола FTP небезопасно с точки зрения интернет-атак: команды и данные передаются открыто. В протоколе FTPS все защищено. Однако нужно иметь в виду, что действия пользователя не дают возможность отката.
Удалив или переместив файл, создав папку в неправильном месте или с некорректным именем можно нанести ущерб файловой системе FTP-сервера. Собственно, сервер повредить невозможно. Но доступ, который он предоставляет к конкретной файловой системе, следует использовать правильно.
