关于FTP协议安全性的实验
本文对此次试验作了一个总结,分析很粗浅,有错误之处请指出。
一、配置IIS服务器建立用户名和密码
这个步骤不是重点,而且网上都有教程,所以写的简略一点。
需要注意的是,我原来用的是win10系统家庭版,而win10系统家庭版没有本地用户和组
这一项,需要升级到win10专业版(这个网上也有教程)。
另外,要想在其他计算机上访问此ftp,则需要在“允许应用通过Windows防火墙”中勾选FTP服务器,并且在公用一栏打钩。
二、使用Wireshark,设置过滤规则为ftp
Wireshark(前称Ethereal)是一个网络封包分析软件。网上随便一搜就能找到下载地址,免费无毒无恶意插件。
三、客户端使用ftp命令访问服务器端
四、抓包并分析用户名与口令
五、FTP协议的安全问题
尽管服务端可以通过设置用户权限来限制FTP客户,使其只能读取而不能写入,但是依然存在很大的安全问题。
1.FTP客户与服务器之间的数据传送都是通过明文的方式,没有任何加密措施,因此在数据监听技术出现以后,这种传输就变得很危险,别人可以直接从捕获的数据中轻松找到用户名与口令以及传输的内容
2.任何人都能够登录FTP服务器,如果未设置用户权限,那么就很容易受到攻击
以明文的方式进行数据传输十分危险,只要有一个简单的数据捕获工具就能够捕获通过ftp传输的数据,而这种数据捕获工具是很容易就能找到的。