ftp安全手段
㈠ 什麼是ftp木馬
木馬下載者 Trojan-Downloader.Win32.QQHelper.ftp
病毒名稱
Trojan-Downloader.Win32.QQHelper.ftp
捕獲時間
2007年9月9日
病毒症狀
該木馬程序是一個用Delphi語言編寫的木馬,長度127,488 位元組,無裝飾性圖標,發作後將自身和釋放的庫文件Vermin.dll插入explorer.exe及其子進程,在後台下載其他木馬程序。
病毒分析
該木馬是一個比較頑固的木馬程序,觸發後會拷貝自身文件到系統目錄的inf文件夾下執行,並將其注冊為服務名為"Windows Media Service"的系統服務以獲得系統許可權,服務描述"管理多媒體設備,如果服務被終止,音頻設備及其音效將不能正常工作。如果此服務被禁用,任何依它的服務將無法啟動";釋放Vermin.dll監控系統消息;通過調試手段將自身映像和Vermin.dll模塊注入到explorer.exe及其所有子進程中,在後台調用相關下載函數下載其他木馬程序;通過查找窗口以及窗口類的方式獲取某些安全軟體的進程,嘗試強行終止安全軟體進程或通過發送消息強行關閉其窗口;使用IFEO映像劫持系統文件ctfmon.exe(即Windows任務欄的語言欄工具條)到病毒映像路徑,使得木馬會在開機時自動啟動。
感染對象
Windows2000/Windows XP/Windows2003
傳播途徑
文件捆綁/網頁木馬傳播
安全提示
已安裝微點主動防禦軟體的用戶,無論您是否已經升級到最新版本,微點主動防禦都能夠有效防禦該木馬程序。如果您沒有將微點主動防禦軟體升級到最新版,微點主動防禦軟體在發現該病毒後將報警提示您「發現未知木馬」,請直接選擇刪除處理(如圖1);
如果您已經將微點主動防禦軟體升級到最新版本,微點將報警提示您發現Trojan-Downloader.Win32.QQHelper.ftp」,請直接選擇刪除(如圖2)。
使用其它殺毒軟體的用戶,請盡快將您的殺毒軟體特徵庫升級到最新版本進行查殺,並開啟防火牆攔截網路異常訪問,如依然有異常情況請注意及時與專業的安全軟體廠商聯系獲取技術支持。由於該病毒的特殊性,會自動終止某些殺毒軟體運行,如果您的殺毒軟體已經無法正常運行,您也可以嘗試安裝微點解決。
沒有安裝微點主動防禦軟體的用戶,建議您盡快安裝使用微點主動防禦軟體查殺預防各類新病毒。
㈡ FTP和Telnet分別是什麼啊
文件傳輸協議。文件傳輸協議(英語:File Transfer Protocol,縮寫:FTP)是一個用於在計算機網路上在客戶端和伺服器之間進行文件傳輸的應用層協議。
Telnet協議是TCP/IP協議族中的一員,是Internet遠程登錄服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序,用它連接到伺服器。
(2)ftp安全手段擴展閱讀
Telnet和FTP都可以實現遠程登陸,他們的區別在於Telnet是遠程登陸協議,而FTP是文件傳輸協議,這樣二者的許可權大不相同。
Telnet是把登陸用戶可以當成本地計算機一台終端,用戶在登錄遠方計算機後,具有計算機上的本地用戶一樣的許可權。如果可以的話,系統甚至可以賦予登陸用戶全部的許可權。
㈢ 伺服器有什麼攻擊手段
主機偵探就和大家說說常見的伺服器攻擊手段:
一、CC攻擊:CC攻擊的原理便是攻擊者控制某些主機不停地發許多數據包給對方伺服器形成伺服器資源耗盡,一直到宕機潰散。
二、DDOS攻擊:近幾年由於寬頻的遍及,許多網站開始盈餘,其間許多不合法網站利潤巨大,形成同行之間互相攻擊,還有一部分人使用網路攻擊來敲詐錢財。
三、長途銜接不上:有或許是3389攻擊,這個比較好處理。
四、80埠攻擊:這個是讓WEB管理員頭痛的,現在只需拔掉網線,等一段時間期望攻擊沒了就OK了,期望能得到更好的處理辦法。
五、arp攻擊:ARP攻擊便是經過偽造IP地址和MAC地址完成ARP詐騙,可以在網路中發生許多的ARP通訊量使網路阻塞,攻擊者只需持續不斷的宣布偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,形成網路中斷或中間人攻擊。
㈣ 關於2003伺服器的安全設置
windows server2003是目前最為成熟的網路伺服器平台,安全性相對於windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要,所以,我們要根據實際情況來對win2003進行全面安全配置。說實話,安全配置是一項比較有難度的網路技術,許可權配置的太嚴格,好多程序又運行不起,許可權配置的太松,又很容易被黑客入侵,做為網路管理員,真的很頭痛,因此,我結合這幾年的網路安全管理經驗,總結出以下一些方法來提高我們伺服器的安全性。
第一招:正確劃分文件系統格式,選擇穩定的操作系統安裝盤
為了提高安全性,伺服器的文件系統格式一定要劃分成NTFS(新技術文件系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁碟配額、EPS文件加密等。如果你已經分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,在網安聯盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業可升級版,這個一個完全破解了的版本,可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件,安裝完後打上最新的補丁,到網上升級到最新版本!保證操作系統本身無漏洞。
第二招:正確設置磁碟的安全性,具體如下(虛擬機的安全設置,我們以asp程序為例子)重點:
1、系統盤許可權設置
C:分區部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創建文件/寫入數據(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創建文件夾/附加數據
讀取許可權
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改許可權
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改許可權
2、網站及虛擬機許可權設置(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下,並且為每一個虛擬機創建了一個guest用戶,用戶名為vhost1...vhostn並且創建了一個webuser組,把所有的vhost用戶全部加入這個webuser組裡面方便管理
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數據備份盤
數據備份盤最好只指定一個特定的用戶對它有完全操作的許可權
比如F盤為數據備份盤,我們只指定一個管理員對它有完全操作的許可權
4、其它地方的許可權設置
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作許可權
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述
第三招:禁用不必要的服務,提高安全性和系統效率
Computer Browser 維護網路上計算機的最新列表以及提供這個列表
Task scheler 允許程序在指定時間運行
Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件載入到內存中以便以後列印。要用列印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網路域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機並運行程序
第四招:修改注冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」,滑鼠右擊 「CheckedValue」,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接_blank">防火牆,在設置服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務埠
運行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進制狀態下改成你想要的埠號吧,比如7126之類的,只要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的埠號和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。打開注冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成」1」即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以後,重啟又變成了共享是怎麼回事,這是2K為管理而設置的默認共享,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認情況下,任何用戶通過通過空連接連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼許可權都沒有的那種,然後打開記事本,一陣亂敲,復制,粘貼到「密碼」里去,呵呵,來破密碼吧~!破完了才發現是個低級賬戶,看你崩潰不?
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些*常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣,出錯了自動轉到首頁
4. 安全日誌
我遇到過這樣的情況,一台主機被別人入侵了,系統管理員請我去追查兇手,我登錄進去一看:安全日誌是空的,倒,請記住:Win2000的默認安裝是不開任何安全審核的!那麼請你到本地安全策略->審核策略中打開相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義
5. 運行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟體+blackice_blank">防火牆
6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置,更改默認埠,和管理密碼
7.設置ip篩選、用blackice禁止木馬常用埠
一般禁用以下埠
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值.
打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制台,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"->"打開資料庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".
如果系統提示"拒絕訪問資料庫",不管他.
你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全資料庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全資料庫重建成功.
㈤ 網路安全攻擊手段
"網路攻擊的常用手段
1、獲取口令
這又有三種方法:一是通過網路監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對區域網安全威脅巨大;二是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟體強行破解用戶口令,這種方法不受網段限制,但黑客要有足夠的耐心和時間;三是在獲得一個伺服器上的用戶口令文件(此文件成為Shadow文件)後,用暴力破解程序破解用戶口令,該方法的使用前提是黑客獲得口令的Shadow文件。此方法在所有方法中危害最大,因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄伺服器,而是在本地將加密後的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼,尤其對那些弱智用戶(指口令安全系數極低的用戶,如某用戶賬號為zys,其口令就是zys666、666666、或乾脆就是zys等)更是在短短的一兩分鍾內,甚至幾十秒內就可以將其幹掉。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在Windows啟動時悄悄執行的程序。當您連接到網際網路上時,這個程序就會通知黑客,來報告您的IP地址以及預先設定的埠。黑客在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改您的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
3、WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就可以達到欺騙的目的了。
4、電子郵件攻擊
電子郵件攻擊主要表現為兩種方式:一是電子郵件轟炸和電子郵件「滾雪球」,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被「炸」,嚴重者可能會給電子郵件伺服器操作系統帶來危險,甚至癱瘓;二是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字元串)或在貌似正常的附件中載入病毒或其他木馬程序(據筆者所知,某些單位的網路管理員有定期給用戶免費發送防火牆升級程序的義務,這為黑客成功地利用該方法提供了可乘之機),這類欺騙只要用戶提高警惕,一般危害性不是太大。
5、通過一個節點來攻擊其他節點
黑客在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網路監聽方法,嘗試攻破同一網路內的其他主機;也可以通過IP欺騙和主機信任關系,攻擊其他主機。這類攻擊很狡猾,但由於某些技術很難掌握,如IP欺騙,因此較少被黑客使用。
6、網路監聽
網路監聽是主機的一種工作模式,在這種模式下,主機可以接受到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接受方是誰。此時,如果兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
7、尋找系統漏洞
許多系統都有這樣那樣的安全漏洞(Bugs),其中某些是操作系統或應用軟體本身具有的,如Sendmail漏洞,win98中的共享目錄密碼驗證漏洞和IE5漏洞等,這些漏洞在補丁未被開發出來之前一般很難防禦黑客的破壞,除非你將網線拔掉;還有一些漏洞是由於系統管理員配置錯誤引起的,如在網路文件系統中,將目錄和文件以可寫的方式調出,將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下,這都會給黑客帶來可乘之機,應及時加以修正。
8、利用帳號進行攻擊
有的黑客會利用操作系統提供的預設賬戶和密碼進行攻擊,例如許多UNIX主機都有FTP和Guest等預設賬戶(其密碼和賬戶名同名),有的甚至沒有口令。黑客用Unix操作系統提供的命令如Finger和Ruser等收集信息,不斷提高自己的攻擊能力。這類攻擊只要系統管理員提高警惕,將系統提供的預設賬戶關掉或提醒無口令用戶增加口令一般都能克服。
9、偷取特權
利用各種特洛伊木馬程序、後門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊,前者可使黑客非法獲得對用戶機器的完全控制權,後者可使黑客獲得超級用戶的許可權,從而擁有對整個網路的絕對控制權。這種攻擊手段,一旦奏效,危害性極大。
10、埠攻擊
如果是基於Windows 95/NT的操作系統,而且沒有安裝過Patch,那麼就極易受到攻擊,這個漏洞是由OOB引起的,OOB是Out Of Band的縮寫,是TCP/IP的一種傳輸模式。攻擊的原理是以OOB方式通過TCP/IP埠139向對端的Windows 95/NT傳送0byte的數據包,這種攻擊會使計算機處於癱瘓狀態,無法再工作。在windows98 OSR2版本和WindowsNT 4.0 Service Pack5中微軟公司已更正了該錯誤。
我們常用的埠是:21(FTP)、23(Telnet)、25(Mail)、70(Gopher)、80(Http),針對埠最快速的攻擊方法是基於Telnet協議。Telnet可以快速判斷某特定埠是否打開以及伺服器是否運行;還有黑客利用Telnet來進行伺服器拒絕式攻擊,例如,向WindowsNT Web伺服器的所有埠發送垃圾數據會導致目標處理器資源消耗高達100%,向其他埠發送Telnet請求也可能導致主機掛起或崩潰,尤其是向埠135發送Telnet連接請求時。防範的方法,如果不是非常必要,關閉Telnet埠。
一般用戶不要裸機,一定要用個360之類的殺軟保護電腦"
㈥ IIS虛擬目錄主目錄為「另一台計算機上的共享」,磁碟緩存寫入錯誤!
你到這網站看看吧!圖文並茂了。本人看了一下,成功率應該好高!
實現FTP服務
FTP站點基礎
正如WWW服務的實現依賴於TCP/IP協議組中的HTTP應用層協議一樣,FTP服務同樣依賴於TCP/IP協議組應用層中的FTP協議來實現。FTP的默認TCP埠號是21,由於FTP可以同時使用兩個TCP埠進行傳送(一個用於數據傳送,一個用於指令信息傳送),所以FTP可以實現更快的文件傳輸速度。
使用FTP需要專門的客戶端軟體,例如著名的BulletFTP、LeapFTP等等,一般的瀏覽器(如IE)也可以實現有限的FTP客戶端功能,如下載文件等。
如右圖,就是在IE瀏覽器中打開的一個FTP站點。FTP 伺服器的Internet地址(URL)與通常在Web網站中使用的URL略有不同,其協議部分需要寫成"ftp://"而不是"",例如,由Microsoft創建並提供大量技術支持文件的匿名FTP伺服器地址為ftp://ftp.microsoft.com。
在IE中打開FTP站點,將自動以匿名用戶身份登錄,這時在窗口中列出的內容就是FTP站點根目錄下的文件和文件夾。如在Windows資源管理器中一樣雙擊打開文件夾(目錄)則進入其下一級目錄。
如果我們需要在IE中下載一個文件,應遵循如下步驟:
1.則在IE窗口中右擊該文件圖標,選擇,或者雙擊該文件。
2.如右上圖所示,在對話框中選擇。
3.確保復選框已經被選中。
4.單擊。
5.如右下圖,在對話框中選擇文件保存路徑,完成後單擊。
6.如下圖,在下載對話框中顯示進度,如果文件較大或者網路較慢,可能耗時較長,完成後單擊。
創建FTP站點
現在我們已經對FTP站點有了一個感性認識,接下來的任務是學習如何在IIS中創建FTP站點,實際上,這項工作是與創建Web站點的過程及其相似的。
規劃FTP站點
與Web站點相同,FTP站點同樣需要自己的IP地址和TCP埠號。由於FTP服務的默認埠號是21,而WWW服務是80,所以一個FTP站點可以和一個Web站點共享同一個IP地址。事實上,安裝IIS時自動生成的默認Web站點和默認FTP站點就是使用同一IP地址的。當我們不使用默認的21作為FTP站點的TCP埠號時,客戶機請求FTP站點時就需要在FTP伺服器域名地址後面添加":"和實際埠號。
IIS的FTP服務也有虛擬伺服器的實現方式,通過虛擬FTP伺服器,可以在一台實際計算機上維持多個FTP站點。虛擬伺服器的優點是節省硬體成本,缺點是多個站點共用一台主機的資源會造成性能上的問題。實際的規劃中並沒有一種嚴格的定量規則,要根據站點的訪問量和可能的數據流量以及伺服器的硬體條件、帶寬資源等規劃一台計算機所最多承載的站點數。
在IIS中,可以為FTP站點設置虛擬目錄,虛擬目錄的引入,極大的擴展了FTP伺服器的存儲能力。我們知道單一主目錄的存儲能力受到磁碟分區(包括物理磁碟)的大小限制,而FTP服務的目的恰恰是提供大量文件以供下載,或提供大量的空間用於用戶存儲文件。這樣的矛盾只有通過虛擬目錄的方法才能得到解決,尤其時遠程虛擬目錄,可以將FTP站點的存儲空間分布在網路中的多台計算機中。但是,虛擬目錄(尤其是遠程虛擬目錄)也帶來一些性能上的問題,分布在區域網中多台計算機上的存儲環境可能會造成較多的網路流量。對於訪問量大的FTP站點而言,分布的存儲可能會影響到區域網中的其他用戶。對此,唯一的彌補方法是盡量將訪問量大的文件保存在伺服器的本地磁碟上,而將不太常用的文件保存在遠程虛擬目錄中。
使用FTP站點創建向導
創建FTP站點的工作要在IIS的MMC窗口中進行,這里我們使用FTP伺服器創建向導新建一個示例FTP伺服器,方法如下。
1.在IIS左側的管理控制樹中右擊計算機圖標,在彈出菜單中指向,單擊。
2.在FTP站點創建向導中單擊。
3.如下左圖,在對話框中輸入用於在IIS內部識別站點的說明,該名稱並非真正的FTP站點域名。
4.如下右圖,在對話框中指定該站點使用的IP地址和TCP埠號,注意默認的埠號為21。完成後單擊。
5.如上圖,在主目錄對話框中指定站點主目錄,主目錄是由於存儲站點文件的主要位置。虛擬目錄以在主目錄中映射文件夾的形式存儲數據。完成後單擊。
6.如上右圖,在對話框中指定站點許可權,FTP站點只有兩種訪問許可權:讀取和寫入,前者對應下載許可權;後者對應上傳許可權。單擊繼續。
7.如右圖,單擊結束FTP站點創建。
8.回到IIS窗口中,在管理控制樹中選擇我們剛剛創建的FTP站點,單擊工具條上的圖標使之生效。
創建虛擬目錄
虛擬目錄能夠極大的拓展FTP伺服器的存儲能力。FTP虛擬目錄分為本地和遠程兩種,本地虛擬目錄即可以位於與FTP站點主目錄相同的磁碟分區上,也可以位於本地的其他磁碟上;遠程虛擬目錄則位於網路中的其他計算機上(必須與FTP站點所在的IIS計算機處於同一域中)。出於向下兼容性的考慮,FTP站點的虛擬目錄相當於在站點主目錄下的映射文件夾。雖然對於FTP用戶而言這些內容是在後台執行的不可見過程;但對於FTP站點管理員,就需要考慮這一特性在站點和虛擬目錄創建過程中造成的影響,稍後我們就將看到這一影響。
創建FTP虛擬目錄的工作也是在IIS管理工具中完成的,具體如下:
1.在IIS管理控制樹中右擊需要重建虛擬目錄的FTP站點,在彈出菜單中指向,單擊。
2.打開虛擬目錄創建向導,如右上圖,在向導歡迎對話框中單擊。
3.如左上圖,在對話框中的欄中指定虛擬目錄別名。這里所謂的別名,是指虛擬目錄在IIS管理器中的有效名稱,亦即虛擬目錄在站點主目錄下映射的名稱。用戶在下載FTP文件時指定的URL路徑中包含的目錄名稱就是虛擬目錄別名(對於非虛擬目錄,指定其實際名稱即可)。別名與目錄真實名稱沒有聯系,但也可以相同。單擊繼續。
4.如右上圖,在對話框中單擊瀏覽指定或在欄中直接指定虛擬目錄所對應的實際路徑。前面已經提到,對於遠程虛擬目錄,其實際路徑是以UNC路徑的形式指定的,如需要以Server伺服器上的Share共享文件夾作為虛擬目錄的實際路徑,則應指定路徑欄中指定UNC名為:\\Server\Share。單擊繼續。
5.如右圖,在對話框中,指定該虛擬目錄所允許的用戶訪問許可權。選擇相應的或復選框即可(對應下載和上傳許可權)。注意,這里的許可權(虛擬目錄許可權)相當於WWW服務中的Web許可權,是對所有站點訪問用戶都有效的。單擊繼續。
6.單擊結束創建。
為了檢驗我們的創建結果,回到IIS管理界面,在管理控制樹中展開我們剛剛創建虛擬目錄的網站,可見下新建的虛擬目錄節點,右擊虛擬目錄節點,在彈出菜單上選擇,打開一個IE窗口。此時窗口中列出的內容正是新建虛擬目錄所對應的實際目錄中包含的文件和文件夾,說明虛擬目錄創建成功。
但是,當我們在IE中打開站點時(比如右擊管理控制樹中的站點節點,選擇),在IE窗口中卻並未看見新建的虛擬目錄。不過,如果在IE的地址欄中的站點地址後面加上虛擬目錄的路徑,形如"/<虛擬目錄名>",仍然可以進入虛擬目錄並查看或下載其中的文件。這是為什麼呢?
其實上述問題的出現並非系統錯誤,其解決方法也並不復雜。前面我們曾經提到,FTP站點的虛擬目錄相當於站點主目錄下的映射文件夾,實際對應的文件夾並不在主目錄下,而在IE瀏覽器中打開的站點主頁卻只能顯示站點主目錄下的內容。於是,就造成了虛擬目錄不能在用戶瀏覽器(包括其他FTP客戶端工具)中顯示的現象。雖然採用直接輸入虛擬目錄路徑(完整URL)的方式也可以對虛擬目錄進行訪問,但是這顯然極大的影響了站點系統的應用。以下我們解決這個問題。
解決問題的思路是這樣的:既然虛擬目錄相當於站點主目錄下的映射文件夾,而主目錄下實際上又沒有這個實際文件夾,那麼我們可以在主目錄下創建一個與虛擬目錄同名的假文件夾。這個假文件夾使瀏覽器中可以顯示一個與虛擬目錄同名的項目。用戶在打開這個假文件夾時,將直接被引導到虛擬目錄。
首先,我們需要查看FTP站點的主目錄位置,如右圖,在FTP站點
屬性表單中的選項卡中的欄中查看FTP站點主目錄位置。
隨後,打開Windows資源管理器,找到站點主目錄文件夾,在主目錄文件夾下新建一個與虛擬目錄同名的假文件夾,如右圖。
最後,刷新IE瀏覽器窗口,這時可見FTP站點主目錄下出現虛擬目錄圖標,雙擊打開,即可進入虛擬目錄。
現在,讓我們討論一個問題:一旦主目錄下的假文件夾也包含有文件,那麼在請求虛擬目錄時,用戶得到的是虛擬目錄中的內容呢,還是假文件夾中實際存在的文件呢?這個問題留待讀者自己思考,實在不得要領的話建議做一個實驗驗證之。
管理FTP站點
在前一節,我們已經能夠創建FTP站點和虛擬目錄了,為了使FTP站點能夠正常工作,還依賴於對站點的合理配置。本節將介紹有關FTP站點的管理內容。對於安全相關的管理問題,由於其具有特殊的重要性,我們將在下一節同一討論之。
配置FTP站點屬性
FTP站點的的屬性配置是在FTP站點屬性表單中進行的。FTP站點屬性表單與WWW屬性表單非常相似,如右圖,FTP站點屬性表單有五個選項卡。
對FTP站點屬性的配置方法如下:
1.打開IIS管理界面,右擊管理控制樹中的FTP站點圖標,從彈出菜單中選擇。
2.FTP站點屬性表單如左圖所示,默認打開選項卡。
3.在選項卡中配置FTP站點屬性(包括標識、鏈接、日誌等,下面將詳細討論它們的值),完成後單擊,再單擊關閉對話框。
在FTP站點屬性表單的選項卡中可以對站點的下述參數進行配置:
標識:這部分包括站點說明、IP地址和TCP埠號三項。其中站點說明是在創建站點是指定的,用於在IIS內部識別站點,並無其他用途,與站點的DNS域名也無如何關系。FTP服務的默認TCP埠號為21。由於FTP服務不支持主機標頭(Host Header),所以不能以主機頭方式配置虛擬伺服器。也就是說,在網路中區分FTP站點的唯一性標識只有IP地址和埠號。
連接:FTP站點的連接限制與Web站點的連接限制幾乎完全相同。連接限制用於維護站點的可用性並改善站點的連接性能。這一點對FTP站點來說尤為重要,因為幾乎每個連到站點的用戶都會進行或多或少的文件下載,下載對帶寬的佔用是非常巨大的。在欄中單擊並制定同時連接到該站點的最大並發連接數,預設限制為同時100,000個連接。
在欄中,可以指定站點將在多長時間後斷開無響應用戶的連接。預設值設為900秒,即一個用戶在發呆15分鍾後將被IIS斷開連接。
日誌:對於FTP站點而言,也可以配置其啟用日誌功能,使用戶對站點的全部訪問都記錄在日誌文件中。在選項卡中選擇復選框,對於FTP站點,只有三種可用的日誌文件格式可用:Microsoft IIS文件格式、ODBC格式和W3C擴展文件格式,在下拉列表框中指定之。
單擊日誌格式欄中的打開如右圖所示的擴充日誌屬性對話框。指定新日誌文件的生成時間間隔或文件大小,根據用戶訪問量的大小和現有的分析能力決定採用何種方式進行文件更新。在欄中指定日誌文件存儲的路徑和文件名。詳細的日誌文件命名規則參見前面對Web日誌文件的介紹。
在擴充日誌屬性對話框中單擊選項卡,從中可以對日誌文件中記錄的事件類型進行詳細設定。
當前用戶:FTP站點屬性對話框中有一個獨特的選項,單擊,打開對話框,如右圖所示。該對話框中列出當前連接到FTP站點的用戶列表。從列表中選擇用戶,單擊可以斷開當前用戶的連接,單擊可以使全部的當前用戶從系統斷開。
對話框為站點管理員提供了更靈活的管理方式和控制方式,使管理員能夠實時控制當前用戶的連接狀態。
分配FTP站點操作員
FTP站點操作員是指具有對站點進行全方位操作、維護能力的站點管理員。默認的站點管理員是Windows 2000系統管理員組的全體成員。在實際工作中,出於安全性、內容維護和其他考慮通常需要重新指定站點管理員,具體方法如下:
1.打開IIS管理界面,右擊管理控制樹中的FTP站點圖標,從彈出菜單中選擇。
2.在FTP站點屬性表單中單擊選項卡,如右圖所示。
3.在列表中選擇當前操作員賬號,單擊,去掉預設的站點操作員賬號。
4.單擊,打開對話框。
5.指定站點操作員的賬號或組賬號,單擊返回。
6.單擊使配置生效,單擊關閉站點屬性表單。
FTP站點信息
用戶在連入FTP站點時,應該得到對站點的相關介紹,對於不能像WWW服務一樣提供豐富信息的FTP站點來說,這樣的介紹尤為重要。此外,在用戶離開站點時,以及因站點達到最大連接數而不能接受用戶的訪問請求時,都應該得到相應的提示信息。這些提示性、解說性的簡要信息就是FTP服務的站點消息。
站點消息的指定要在FTP站點屬性表單中的選項卡中進行指定,如右圖。FTP站點消息分為三種:歡迎、退出、最大連接數,分別在選項卡中的、和欄中進行指定。這三種消息類型的具體說明如下:
歡迎消息:用於向每一個連接到當前站點的訪問者介紹本站點提供的服務、文件內容、訪問方式等有關信息。它們有助於訪問者更好地了解站點提供的內容,彌補FTP服務的信息斷層。
如右圖就是一個站點歡迎消息的示例,以在IE瀏覽器中打開的Web站點為例,左側窗格中列出當前打開的FTP站點的歡迎消息內容(黃色背景部分)。
退出消息:用於在客戶斷開連接時(退出系統),發送給站點訪問者的信息,一般為"再見,歡迎再來"之類的話。由於舊式的FTP工具大多是在命令行方式下工作的(Windows 2000命令提示行下頁可以訪問FTP站點),所以在退出站點時可見該消息(在IE瀏覽器中不存在退出的問題,只需要關閉窗口即斷開與站點的連接,故該信息不可見)。
最大連接數消息:該消息用於在系統同時連接數已經達到上限(最大並發連接限制)時,向請求連接站點的新訪問者發出的提示消息,如"由於當前用戶太多,不能響應你的請求,請稍候再試"等。
右圖為命令提示行下,FTP這點的歡迎和退出消息。如果某些採用不同操作系統或客戶端FTP軟體的用戶抱怨歡迎消息不能完全顯示,則說明存在消息格式沖突,解決的方法是將站點的歡迎消息限制在一行之內。
配置FTP站點主目錄
FTP站點主目錄是供站點存儲主要文件的目錄。主目錄下的文件夾將作為FTP站點根目錄的下一級目錄出現,虛擬目錄相當於主目錄下的對應文件夾,也是站點根目錄的下一級目錄。
FTP站點主目錄的指定方式有本地主目錄和遠程主目錄兩種。前者是指站點主目錄位於本地計算機的磁碟上;後者是將主目錄設置為網路中(必須與IIS計算機同在一域之內)的另一台計算機的共享文件夾上。主目錄是在FTP站點屬性表單的選項卡中指定的。
如右上圖,本地主目錄的指定方法為:在選項卡中選擇主目錄位置為。單擊指定主目錄位置或者直接在欄中輸入主目錄路徑。單擊、完成。
遠程主目錄的指定方法為:在選項卡中選擇主目錄位置為,然後從欄中指定共享主目錄的UNC路徑。如果當前站點管理員沒有訪問所指定共享文件夾的許可權,則單擊,打開如右下圖所示的身份驗證對話框,輸入具有對該共享文件夾合適許可權的賬號和口令,單擊返回。單擊、完成。
配置站點目錄列表方式
選項卡中還可以指定目錄列表風格。可選的站點目錄列表風格有MS-DOS和UNIX兩種,在選項卡中的欄中選擇或分別之。
按照字面理解,這兩種風格分別適用於DOS/Windows 用戶和UNIX用戶,但這也不是絕對的。只能說某種風格可能會另相應操作系統的用戶看起來更舒服一些,其中對UNIX/LINUX用戶的影響更大一點。所以,在主要針對UNIX/LINUX用戶群的站點應設置為UNIX列表方式。下面兩個窗口是不同目錄列表方式在Windows 2000目錄提示行下的顯示示例,左圖為MS-DOS方式,右圖為UNIX方式。
實現FTP服務
FTP站點安全性設置
FTP站點的安全性設置相對單純,這是因為FTP站點並不涉及復雜的安全性應用程序和伺服器/瀏覽器交互過程。限制FTP站點安全性的手段無非是:用戶賬號認證、匿名訪問控制以及IP地址限制,本節將給出這些限制方法及其綜合運用方式。
目錄安全性設置
FTP用戶僅有兩種目錄許可權:讀取和寫入,讀取許可權對應於下載能力;寫入許可權對應上傳能力。
FTP站點的目錄許可權是對全體訪問該目錄的用戶都生效的許可權,即一旦某個目錄設置為僅有讀取許可權,則任何FTP用戶,包括授權用戶都不能進行上傳操作(需要寫入許可權)。
目錄許可權可以在FTP站點和虛擬目錄兩個層次進行設置。在IIS管理MMC界面的管理控制樹中右擊FTP站點或虛擬目錄圖標,選擇,
打開站點屬性表單或虛擬目錄屬性表單,選擇或選項卡。只需選擇、復選框即可指定站點或虛擬目錄的目錄訪問許可權。如右圖,就是在虛擬目錄屬性表單中配置目錄許可權的情況。
目錄許可權與NTFS許可權並無關系,但二者共同作用於FTP站點訪問者。一般的,在NTFS分區上的站點目錄被設置的NTFS許可權如果與我們這里設置的目錄許可權發生沖突,二者中限制較大(許可權較小)的許可權將實際發生作用。這種配置有利於站點的安全性,兩重的許可權保護在某種程度上避免了管理員的疏忽。所以,應當盡量的將站點目錄(包括虛擬目錄)存儲在NTFS分區中。
完成目錄許可權指定後,單擊使之生效,如果此時系統提示修改過的許可權設置與當前對象的子站點(子目錄或虛擬目錄)存在許可權沖突,如右圖,則說明子站點許可權與當前許可權有不一致的情況。這時,應在圖中的列表欄中指定繼承當前許可設置的子站點/子目錄對象。或者單擊使當前許可權能夠覆蓋全部子對象當許可權。單
擊返回。如果不選擇站點或單擊,都會導致只有當前對象直接包含的文件才被修改了許可權。最後單擊結束目錄許可權的設置。
匿名訪問控制
匿名訪問是FTP服務的一大特點,雖然在WWW服務中也有匿名訪問的限制,但是匿名訪問對於一個FTP站點來說在安全性和內容方面具有特殊的用途。
由於FTP是一個簡單的,在Internet產生初期就存在的服務,一個FTP站點除了用戶賬號之外沒有其他的用戶安全驗證服務(ISAPI過濾器、數字證書等方法對於FTP是無效的)。所以有必要合理的設置FTP安全賬號。
在IIS管理器的MMC界面中,右擊管理控制樹中的FTP站點節點,從彈出菜單中選擇,打開站點屬性表單,選擇選項卡,如右圖所示,這里是配置匿名訪問的主要界面。
在選項卡中選中復選框,使當前站點同時允許匿名和授權用戶連接。
IIS默認的匿名訪問用戶賬號是IUSR_computername,其中computername是 IIS所在伺服器的計算機名。我們也可以更改這一賬號,在選項卡中單擊欄右側的。在如右上圖所示的中指定匿名用戶賬號,單擊即可。
通常情況下,雖然匿名訪問用戶賬號由Windows 2000進行驗證和安全性維護,但是賬號的密碼是由IIS進行控制的,取消選擇復選框可以自行指定用戶密碼。
FTP站點的用戶訪問控制可以分為三種情況:僅有授權訪問、僅有匿名訪問、匿名訪問與授權訪問混合使用。僅使用匿名訪問方式的好處是強化系統的安全性。這種方式拒絕任何非匿名的登錄請求,也就不可能允許具有管理員許可權的用戶(可能是黑客)通過Internet登錄站點,從而保證伺服器不被入侵。在FTP站點屬性表單的選項卡中選擇復選框進行此設置。如果清除此復選框,IIS會給出如右下圖所示的警告對話框。
對於授權用戶,可以在圖形界面或基於目錄提示行的FTP客戶端軟體中直接指定登錄賬號和密碼(匿名賬號為anonymous,密碼為空),以做登錄驗證之用。左圖是在IE瀏覽器中登錄FTP站點的對話框。預設時,在IE中打開FTP站點都是以匿名身份進入的,需要改變用戶身份時,單擊IE瀏覽器的菜單,選擇,如右圖所示,輸入賬號和密碼,單擊以授權用戶身份進入站點。通常只有授權用戶才有上傳許可權。
IP地址訪問控制
IP地址限制是FTP站點通常使用的安全限制方式之一,由於對於FTP這種較老的服務並無過多的安全技術可供選擇,所以用好現有的安全限制(如IP地址限制)是非常必要的。
FTP站點的目錄安全性可以以兩種方式限制特殊IP地址的訪問:授權訪問和拒絕訪問,兩種方式不能同時使用。授權訪問方式允許預設用戶訪問站點,但可以指定不能訪問站點的例外地址;拒絕訪問方式預設限制所有地址對站點的訪問,但可以指定不受限制的例外地址。兩種方式中後者的安全性要高些,但限制也較大,通常用於內部FTP站點(不對組織外的用戶提供服務);前者則廣泛用於公共的下載站點,根據經驗或者日誌文件的攻擊紀錄將曾經嘗試攻擊的用戶IP地址加入例外地址列表即可加強站點的安全性。
指定IP地址限制的方法如下:
1.在FTP站點屬性表單中單擊選項卡。
2.如右上圖,選擇限制方式為或。
3.單擊列表右側的,打開例外地址對話框。
4.如右下圖所示,選擇限制類型為【單