1.相关介绍
1.1主动模式和被动模式
主动模式:服务端通过指定的数据传输端口(默认20),主动连接客户端提交的端口,向客户端发送数据。
被动模式:服务端采用客户端建议使用被动模式,开启数据传输端口的监听,被动等待客户端的连接然后向客户端发送数据。
一言以蔽之,服务端主动连接客户端就是主动模式,服务端被动等待客户端连接(客户端主动连接服务端)就是被动模式。
ftp有主动模式被动模式而ssh等其他协议没有这种说法的根源是:ftp要使用别的端口来传输数据。
1.2本文环境
192.168.220.128--centos 6.5,作为服务端,通过yum安装的vsftpd,使用默认配置
192.168.220.130--windows 7,作为客户端。
windows cmd中的ftp只支持主动模式我们以之来演示主动模式的交互过程,一般的ftp客户端都优先采用被动模式这里我们以FileZilla Client来演示被动模式的交互过程。
2.主被动交互过程数据包分析
2.1主动模式交互过程分析
在cmd中登录后,执行ls -l,以下是ls -l执行的交互数据包
4--客户端(52667) 请求服务端(21)连接本机192.168.220.128:52670
5--服务端(21)向客户端(52667)表示可以,不过下次最好用被动模式
6--客户端(52667)请求服务端(21)执行:ls -l
7--握手包1,服务端默认数据连接端口(20),主动连接客户端给过来的端口(52670)
8--握手包2,客户端(52670)向服务端(20)表示同意连接
9--握手包3,服务端(20)确认与客户端(52670)建立连接
10--服务端(21)向客户端(52667)表示以下是命令执行返回结果
11--返回结果数据包1
12--返回结果数据包2
13--挥手包1,服务端(20)向客户端(52670)表示数据已完成传输
14--挥手包2,客户端(52670)回复服务端(20)己方也准备处理完成
15--服务端(21)向客户端(52667)表示数据已传输完成
16--客户端(52667)向服务端(21)表示好的
17--挥手包3,客户端(52670)向服务端(20)表示可断开连接
18--挥手包4,客服端(20)向客户端(52670)确认断开连接
2.2被动模式交互过程分析
在FileZilla Client中登录后,点击列出根目录,以下是点击列出根目录后的交互数据包
21--客户端(52550)请求服务端执行:cd /
22--服务端(21)回复客户端:250 Directory successfully changed.
23--客户端(52550)请求服务端执行:pwd
24--服务端(21)回复客户端:257 "/"
25--客户端(52550)请求下一操作使用被动模式
26--服务端(21)同意采取被动模式,并返回自己将要监听的地址192.168.220.128:64758
27--客户端(52550)请求执行:ls
28--握手包1,客户端52552请求连接64758
29--握手包2,服务端64758回复同意连接请求
30--握手包3,客户端52552回复服务端64758确认建立数据传输链路连接
31--服务端表示将要发回命令执行结果
35--返回结果数据包1(64758端口到52552端口)
36--返回结果数据包2(64758端口到52552端口)
37--挥手包1,服务端(64758)表示自己数据已完全传输
38--挥手包2,客户端(52552)表示自己数据也将完成传输
39--服务端(21)向客户端(52550)表示执行结果已完全返回
40--客户端(52550)向服务端(21)表示好的
41--挥手包3,客户端(52552)向服务端(64758)表示可断开数据传输链路
42--挥手包4,服务端(64758)回复客户(52552)端确认断开
3.关于NAT下的ftp等几个问题的讨论
3.1在被动模式中,服务端数据传输的端口由客户端指定吗
答案是否定的。在一些资料中可以看到客户端决定服务端端口的说法,但在2.2交互过程中我们已可以清楚地看到,客户端只是决定使用被动模式,服务端应允后就传回了自己监听的端口。
3.2nat环境下ftp存在问题的根本原因是什么
在实践中我们会发现,网络nat环境下不论是主动模式还是被动模式,当执行ls等需要建立数据传输链路的文件时,都会出现超时报错(ftp:connect: Connection timed out.)。
根本的原因是ftp传输数据要使用别的端口,直接的原因是要么是客户端在应用层中指出自己的ip:port(主动模式)要么是服务端在应用层中指出自己的ip:port
在主动模式中,服务端主动连接客户端的ip:port,所以(从原理上讲)只要将服务端的数据传输端口(默认20)也做映射使该端口也能访问客户端网络即可。(但实际遇到的情况中,即便做了映射也还是不行,暂未明其原因)
在被动模式中,服务端指出自己的ip:port,比如我们这里假设服务端真实ip为10.10.220.128,映射ip为192.168,.220.128,服务端将要监听的地址10.10.220.128:64758,发给客户端(192。168.220.130),客户端(192.168.220.130)就向10.10.220.128:64758发起连接请求。但实际上客户端只有到达其映射地址(192.168.220.128)的路由,并没有直接到10.10.220.128的路由,所以连接请求必然是没有回应的。
3.3为什么我们可以ftp服务器
众所周知,上网时个人一般都只能分配到一个私网地址,从这角度来说我们要ftp到服务器,使用主动模式肯定会出问题,但在实际操作中可以看到一般都可以成功ftp。推测可能是nat设备拦载了ftp指定ip:port的数据包,将其修改为了映射出去的ip:port。