1、組織：中國互動出版網（http:/www.china-RFC文檔中文翻譯計劃（http:/www.china-E-mail：ouyangchina-譯者：yeeman（yeeman yi.man）譯文發布時間：2001-6-15版權：本中文翻譯文檔版權歸中國互動出版網所有。可以用于非商業用途自由轉載，但必須保留本文檔的翻譯及版權信息。Network Working Group M. AllmanRequest for Comments: 2577 NASA Glenn/Sterling SoftwareCategory: Informational S. Ostermann Ohio Univ

2、ersity May 1999FTP安全考慮（RFC2577 FTP Security Considerations）本備忘錄的狀態 本備忘錄給Internet社會提供了一些信息，但不指定任何一種Internet標準。發布本備忘錄不受限制。版權聲明Copyright (C) The Internet Society (1999). All Rights Reserved.摘要 本文是對文件傳輸協議（FTP）的說明，它包含了一些用來緩解網絡安全問題的機制。本FTP規范允許客戶端命令一臺服務器傳輸文件到第三方機器。這種“三方”機制，我們稱它為“代理FTP”，帶來了一個著名的安全問題。本FTP規范還

3、允許無數次的嘗試輸入用戶密碼，這帶來了強力“密碼猜測”攻擊。本文檔給系統管理員和那些實現FTP服務器的人提供了一些建議來減少跟FTP有關的安全問題。1簡介12跳轉攻擊（Bounce Attack）23避免跳轉攻擊24受限制的訪問35保護密碼36私密性37保護用戶名38端口盜用49基于軟件的安全問題410結論411安全考慮41簡介文件傳輸協議規范（FTP）PR85提供了一種允許客戶端建立FTP控制連接并在兩臺FTP服務器間傳輸文件的機制。這種“代理FTP”機制可以用來減少網絡的流量，客戶端命令一臺服務器傳輸文件給另一臺服務器，而不是從第一臺服務器傳輸文件給客戶端，然后從客戶端再傳輸給第二臺服務器

4、。當客戶端連接到網絡的速度特別慢時，這是非常有用的。但同時，代理FTP還帶來了一個安全問題“跳轉攻擊（bounce attack）”CERT97:27。除了“跳轉攻擊”，FTP服務器還可以被攻擊者通過強力來猜測密碼。本文檔并不考慮當FTP和一些強壯的安全協議（比如IP安全）聯合使用的情況。雖然這些安全關注并不在本文檔的考慮范圍內，但是它們也應該被寫成文檔。本文給FTP服務器的實現者和系統管理員提供了一些信息，如下所示。第二章描述了FTP“跳轉攻擊”。第三章提供了減少“跳轉攻擊”的建議。第四章給基于網絡地址限制訪問的服務器提供了建議。第五章提供了限制客戶端強力“猜測密碼”的建議。接著，第六章簡單

5、的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端口盜用。最后，第九章討論了其它跟軟件漏洞有關而跟協議本身無關的FTP安全問題。2跳轉攻擊（Bounce Attack）RFC959PR85中規定的FTP規范提供了一種攻擊知名網絡服務器的一種方法，并且使攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT”命令給目標FTP服務器，其中包含該主機的網絡地址和被攻擊的服務的端口號。這樣，客戶端就能命令FTP服務器發一個文件給被攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令（如SMTP,NNTP等）。由于是命令第三方去連接到一種服務，而不是直接連接，就使得跟蹤攻擊

6、者變得困難，并且還避開了基于網絡地址的訪問限制。例如，客戶端上載包含SMTP命令的報文到FTP服務器。然后，使用正確的PORT命令，客戶端命令服務器打開一個連接給第三方機器的SMTP端口。最后，客戶端命令服務器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接的連接而在第三方機器上偽造郵件，并且很難跟蹤到這個攻擊者。3避免跳轉攻擊原來的FTP規范PR85假定使用TCP進行數據鏈接，TCP端口號從0到1023時報留給一些眾所周知的服務的，比如郵件，網絡新聞和FTP控制鏈接。FTP規范對數據鏈接沒有限制TCP端口號。因此，使用代理FTP，客戶端就可以命令服務器去攻擊任何

7、機器上眾所周知的服務。為了避免跳轉攻擊，服務器最好不要打開數據鏈接到小于1024的TCP端口號。如果服務器收到一個TCP端口號小于1024的PORT命令，那么可以返回消息504（對這種參數命令不能實現）。但要注意這樣遺留下那些不知名服務（端口號大于1023）易受攻擊。一些建議（例如AOM98和Pis94）提供了允許使用除了TCP以外的其他傳輸協議來建立數據連接的機制。當使用這些協議時，同樣要注意采用類似的防范措施來保護眾所周知的服務。另外，我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP服務器然后再下載到準備攻擊的服務端口上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊者也可

8、能通過從遠程FTP服務器發送一些能破壞某些服務的數據來攻擊它。禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力，當然代理FTP并不是在所有場合都需要的。4受限制的訪問一些FTP服務器希望有基于網絡地址的訪問控制。例如，服務器可能希望限制來自某些地點的對某些文件的訪問（例如為了某些文件不被傳送到組織以外）。在這種情況下，服務器在發送受限制的文件之前應該首先確保遠程主機的網絡地址在本組織的范圍內，不管是控制連接還是數據連接。通過檢查這兩個連接，服務器就被保護避免了這種情況：控制連接用一臺可信任的主機連接而數據連

9、接不是。同樣的，客戶也應該在接受監聽模式下的開放端口連接后檢察遠程主機的IP地址，以確保連接是由所期望的服務器建立的。 注意，基于網絡地址的受限訪問留下了FTP服務器易受“地址盜用(spoof)”攻擊。在spoof攻擊中，攻擊機器可以冒用在組織內的機器的網絡地址，從而將文件下載到在組織之外的未授權的機器上。只要可能，就應該使用安全鑒別機制，比如在HL97中列出的安全鑒別機制。5保護密碼為了減少通過FTP服務器進行強力密碼猜測攻擊的風險，建議服務器限制嘗試發送正確的密碼的次數。在幾次嘗試（35次）后，服務器應該結束和該客戶的控制連接。在結束控制連接以前，服務器必須給客戶端發送一個返回碼421（“

10、服務不可用，關閉控制連接”PR85）。另外，服務器在相應無效的“PASS”命令之前應暫停幾秒來消減強力攻擊的有效性。若可能的話，目標操作系統提供的機制可以用來完成上述建議。攻擊者可能通過與服務器建立多個、并行的控制連接破壞上述的機制。為了搏擊多個并行控制連接的使用，服務器可以限制控制連接的最大數目，或探查會話中的可疑行為并在以后拒絕該站點的連接請求。然而上述兩種措施又引入了“服務否決”攻擊，攻擊者可以故意的禁止有效用戶的訪問。標準FTPPR85在明文文本中使用“PASS”命令發送密碼。建議FTP客戶端和服務器端使用備用的鑒別機制，這種鑒別機制不會遭受竊聽。比如，IETF公共鑒別技術工作組開發的

11、機制HL97。6私密性在FTP標準中PR85中，所有在網絡上被傳送的數據和控制信息（包括密碼）都未被加密。為了保障FTP傳輸數據的私密性，應盡可能使用強壯的加密系統。在HL97中定義了一個這樣的機制。7保護用戶名當“USER”命令中的用戶名被拒絕時，在FTP標準中PR85中定義了相應的返回碼530。而當用戶名是有效的但卻需要密碼，FTP將使用返回碼331。為了避免惡意的客戶利用USER操作返回的碼確定一個用戶名是否有效，建議服務器對USER命令始終返回331，然后拒絕對無效用戶名合并用戶名和密碼。8端口盜用許多操作系統以遞增的順序動態的分配端口號。通過合法的傳輸，攻擊者能夠觀察當前由服務器端分

12、配的端口號，并“猜”出下一個即將使用的端口號。攻擊者可以與這個端口建立連接，然后就剝奪了下一個合法用戶進行傳輸的能力。或者，攻擊者可以盜取給合法用戶的文件。另外，攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP客戶和服務器隨機的給數據連接分配端口號，或者要求操作系統隨機分配端口號，或者使用與系統無關的機制都可以減少端口盜用的發生。9基于軟件的安全問題本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由于不完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍，還是有必要指出以下那些過去曾被誤用，今后的實現應該慎重考慮的FTP特性。l 匿名FTP匿

13、名FTP服務使客戶端用最少的證明連接到FTP服務器分享公共文件。如果這樣的用戶能夠讀系統上所有的文件或者能建立文件，那么問題就產生了。CERT92:09 CERT93:06l 執行遠程命令FTP擴展命令”SITE EXEC”允許客戶端執行服務器上任意的命令。這種特性顯然需要非常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP“SITE EXEC”命令可以破壞服務器的安全性。CERT94:08 CERT95:16l 調試代碼前面的一些跟FTP有關危及安全的問題是由于置入了調試特性的軟件造成的。CERT88:01本文建議有這些功能的FTP服務器的實現者在發布軟件之前參閱所有的CERT有關這些問

14、題的攻擊以及類似機制的忠告。10結論使用以上建議可以減少和FTP服務器有關的安全問題的發生，而不用刪除其功能。11安全考慮本備忘錄通篇討論了安全問題。致謝We would like to thank Alex Belits, Jim Bound, William Curtin, Robert Elz, Paul Hethmon, Alun Jones and Stephen Tihor for their helpful comments on this paper. Also, we thank the FTPEXT WG members who gave many useful sugge

15、stions at the Memphis IETF meeting.參考書目 AOM98 Allman, M., Ostermann, S. and C. Metz, "FTP Extensions for IPv6 and NATs", RFC 2428, September 1998. Bel94 Bellovin. S., "Firewall-Friendly FTP", RFC 1579, February 1994. CERT88:01 CERT Advisory CA-88:01. ftpd Vulnerability. December,

16、 1988 /pub/cert_advisories/ CERT92:09 CERT Advisory CA-92:09. AIX Anonymous FTP Vulnerability. April 27, 1992. /pub/cert_advisories/ CERT93:06 CERT Advisory CA-93:06. Wuarchive ftpd Vulnerability. September 19,1997 /pub/cert_advisories/ CERT94:08

17、 CERT Advisory CA-94:08. ftpd Vulnerabilities. September 23, 1997. /pub/cert_advisories/ CERT95:16 CERT Advisory CA-95:16. wu-ftpd Misconfiguration Vulnerability. September 23, 1997 /pub/cert_advisories/ CERT97:27 CERT Advisory CA-97.27. FTP Bounce. January 8, 199

18、8. /pub/cert_advisories/ HL97 Horowitz, M. and S. Lunt, "FTP Security Extensions", RFC 2228, October 1997. Pis94 Piscitello, D., "FTP Operation Over Big Address Records (FOOBAR), RFC 1639, June 1994. Pos81 Postel, J., "Transmission Control Protocol", STD 7,

19、 RFC 793, September 1981. PR85 Postel, J. and J. Reynolds, "File Transfer Protocol (FTP)", STD 9, RFC 959, October 1985. RP94 Reynolds, J. and J. Postel, "Assigned Numbers", STD 2, RFC 1700, October 1994. See also: /numbers.html作者的地址 Mark Allman NASA Glenn Resea

20、rch Center/Sterling Software 21000 Brookpark Rd. MS 54-2 Cleveland, OH 44135 EMail: Shawn Ostermann School of Electrical Engineering and Computer Science Ohio University 416 Morton Hall Athens, OH 45701 EMail: 完整的版權聲明 Copyright (C) The Internet Society (1999)

21、. All Rights Reserved. This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, pr

22、ovided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copy