Wireshark 抓包理解 FTP 传输过程

FTP概述

文件传输协议（FTP）作为网络共享文件的传输协议，在网络应用软件中具有广泛的应用。FTP的目标是提高文件的共享性和可靠高效地传送数据。在传输文件时，FTP客户端程序先与服务器建立连接，然后向服务器发送命令。服务器收到命令后给予响应，并执行命令。FTP协议与操作系统无关，任何操作系统上的程序只要符合FTP协议，就可以相互传输数据。

FTP协议简介

FTP是仅基于TCP的服务，不支持UDP，相比其他协议（如 HTTP协议），FTP协议要复杂一些。与一般的C/S应用不同点在于一般的C/S应用程序一般只会建立一个Socket连接，这个连接同时处理服务器端和客户端的连接命令和数据传输。而FTP协议中将命令与数据分开传送的方法提高了效率。

FTP使用2个端口，一个数据端口和一个命令端口（也叫做控制端口）。控制Socket用来传送命令，数据Socket是用于传送数据。每一个 FTP命令发送之后，FTP服务器都会返回一个字符串，其中包括一个响应代码和一些说明信息。其中的返回码主要是用于判断命令是否被成功执行了。
 

OSI七层协议与Wireshark显示关系

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

File Transfer Protocol: 应用层的信息，此处是FTP协议

FTP包格式如下：

FTP包格式

 

命令端口和数据端口

一般来说，客户端有一个 Socket 用来连接 FTP 服务器的相关端口，它负责 FTP 命令的发送和接收返回的响应信息。一些操作如“登录”、“改变目录”、“删除文件”，依靠这个连接发送命令就可完成。服务器的命令端口号一般是21。

对于有数据传输的操作，主要是显示目录列表，上传、下载文件，我们需要依靠另一个Socket来完成。 如果使用被动模式，通常服务器端会返回一个端口号。客户端需要用另开一个Socket来连接这个端口，然后我们可根据操作来发送命令，数据会通过新开的一个端口传输。

如果使用主动模式，通常客户端会发送一个端口号给服务器端，并在这个端口监听。服务器需要连接到客户端开启的这个数据端口，并进行数据的传输。主动模式下，服务器的数据端口号一般是20。

 主动模式（PORT）和被动模式（PASV）

主动模式下，客户端随机打开一个大于1024的端口向服务器的命令端口P（即21端口），发起连接，同时开放N +1端口监听，并向服务器发出“port N+1”命令，由服务器从它自己的数据端口（即20端口）主动连接到客户端指定的数据端口（N+1）。FTP的客户端只是告诉服务器自己的端口号，让服务器来连接客户端指定的端口。对于客户端的防火墙来说，这是从外部到内部的连接，可能会被阻塞。

为了解决服务器发起到客户的连接问题，有了另一种FTP连接方式，即被动方式。命令连接和数据连接都由客户端发起，这样就解决了从服务器到客户端的数据端口的连接被防火墙过滤的问题。被动模式下，当开启一个FTP连接时，客户端打开两个任意的本地端口（N > 1024和N+1）。第一个端口连接服务器的21端口，提交PASV命令。然后服务器会开启一个任意的端口（P > 1024