21 порт для чего нужен: Зачем в FTP нужны порты и как их «пробрасывать»

Содержание

Зачем в FTP нужны порты и как их «пробрасывать»

Настройка FTP – несложный процесс, который имеет свои специфические особенности. Если вы сразу постараетесь во всем разобраться, то работа с сервером FTP со временем станет для вас одним наслаждением. Через такие сервера вы сможете скачивать музыку, фильмы, картинки и прочие файлы, а также содержать сайт с хостом, работающим через протокол передачи данных. Но для этого нужно хорошо понять, что к чему, а в особенности необходимо разобраться в том, что из себя представляет FTP порт, для чего он нужен и как его настроить. Именно об этом и пойдет речь в статье. Вы узнаете, какой порт стандартный, как изменить настройки по умолчанию для портов и разблокировать его в брандмауэре и роутере.

Что из себя представляет порт и зачем он нужен

Если разобраться, то все предельно просто. У операционной системы компьютера есть определенное ограниченное число портов. Они нужны для того, чтобы программы могли к ним подключаться через сеть. Это сделано для того, чтобы приложения не конфликтовали между собой во время попытки подсоединиться к сети. Порт – это лишь цифра транспортного протокола. Его можно сравнить с трассой. Если все программы запускать по одной и той же “трассе”, то на ней быстро образуется пробка. Потому для каждого приложения должен быть выделен свой уникальный порт – то есть еще не занятое другими программами число.

Разработчики операционных систем уже давно используют такой метод распределения программ по пронумерованным протоколам и он хорошо себя зарекомендовал. Ведь существует более шести тысяч портов, чего с головой хватит для любого компьютера!

FTP – это протокол передачи данных. Он необходим для того, чтобы клиент и сервер могли быстро обмениваться различными файлами.

Такой протокол удобен для тех людей, которым неважен web-интерфейс хранилища, а которые ценят скорость загрузки и количество файлов, которые можно хранить на сервере. Нет лучшего способа обмена объемными данными, чем через протокол FTP. И работает этот протокол через канал TCP. А для того, чтобы подключиться к этому каналу, необходим определенный порт. То есть чтобы открыть сервер, клиент должен зайти на его порт, и уже через него проникнуть на хост. В этом и кроется вся суть портов для FTP.

Что такое активный и пассивный режим, и как они связаны с портами

Дело в том, что есть два варианта развития сценария взаимодействия клиента с сервером. Первый вариант – это когда программа назначает порт, по которому ей удобно пользоваться. То есть на сервере установлен определенный номер порта, и система с этим соглашается, освобождая его. А второй вариант – это когда операционная система сама подбирает для программы порт для выхода в сеть.

В FTP когда клиент пытается подключиться к серверу, активный режим проявляется в момент установки соединения для передачи данных. Если задан активный режим, то тогда клиент задает номер порта соединения, который должен открыть сервер. Получается, что клиент управляет ситуацией, а сервер подстраивается под него. А в пассивном режиме клиент выступает пассивно, то есть принимает от сервера сообщение с номером порта для соединения, и подключается по нему.

Но дело в том, что в протоколе FTP есть два типа соединения:

  1. Управляющее.
  2. Соединение для передачи данных.

Активность и пассивность клиента проявляется только во втором типе соединения. А первое необходимо для того, чтобы сервер и клиент могли общаться между собой. То есть чтобы сервер принимал команды от клиента, потому это соединение и называется управляющим. Такое соединение работает через стандартный порт, установленный по умолчанию.

Как настроить порты по умолчанию, чтобы FTP-сервер заработал

Многие, кто пытаются установить FTP-сервер в популярной операционной системе Windows, сталкиваются с проблемой закрытых портов. В результате, клиент не может открыть сервер, потому что тот недоступен для него – “трасса” перекрыта. Потому нужно уметь настраивать порты, и об этом далее пойдет речь в статье.

По умолчанию в FTP настроены 20 и 21 порты. Наибольшее значение имеет 21 порт, который необходим для того, чтобы вы могли открыть сервер и передавать ему команды – то есть он нужен для управляющего соединения. А вот 20 порт нужен в основном для активного режима. В любом случае вам необходимо освоить навык проброса портов, чтобы обойти стандартные блокировки системы и роутера.

Проблема в том, что далеко не все пользователи Windows решаются на затею создать у себя на компьютере FTP-сервер. Потому операционная система блокирует доступ инородных тел (удаленных компьютеров) на ПК через основные каналы транспортных протоколов. И, как правило, 21 и 20 порты также входят в список заблокированных для удаленных клиентов. А блокируют их со стороны компьютера – брандмауэр, и устройство-посредник для доступа к Интернету – роутер. Вам нужно научиться обходить эту двойную защиту, чтобы вы могли открывать не только 21 порт, но и другие, когда потребуется.

Настройка проброса портов 21 и 20 начинается с изменения конфигураций брандмауэра. Вам необходимо открыть “Панель управления” через “Пуск”. Далее отыщите вкладку “Система и безопасность” и внутри нее найдите раздел “Брандмауэр Windows”. Далее вам необходимо добраться к “Дополнительным параметрам брандмауэра” в левом боковом меню настроек. Брандмауэр работает посредством правил, потому вам нужно лишь создать новые стандарты для этой службы, чтобы она не мешала работе FTP-сервера. Для этого нажмите “Правила для входящих подключений” и кнопку “Создать правило”. Ничего прописывать не придется – это не написание программы, так как в Windows все работает через интуитивно понятный интерфейс. Вам нужно будет указать тип правила “Для порта”. Потом выбрать “Протокол TCP” и указать в форме “Определенные локальные порты” число 21. Далее разрешаете подключение через порт 21, определяете уровень доступа для клиентов, прописываете название правила и сохраняете введенные настройки.

Следующим шагом вам необходимо настроить правила для исходящих соединений. Ведь не только клиент будет загружать на сервере различные данные и отдавать команды, но и сервер неоднократно поделиться своими файлами и будет высылать данные удаленному компьютеру. Потому исходящие соединения вам также нужно одобрить. В целом, настройка правил для таких соединений ничем не отличается от выше описанной. Вам также нужно будет прописать порт 21 и везде активировать разрешение, которое по умолчанию заблокировано. Если вы используете активный режим, то можете в строке, куда нужно прописывать порт, указывать через запятую сразу две цифры: 21 и 20. Если понадобится на будущее, то можете в правиле прописать целый диапазон портов, для которых соединение будет разрешено – для этого пропишите цифры через дефис без пробелов.

Иногда настройки одного брандмауэра недостаточно. К стандартным службам подобного плана относится еще и фаерволл. Его настраивать еще проще, чем брандмауэр. Вам не придется добавлять новое правило, а нужно будет лишь отметить галочку возле FTP-сервер для входящих и исходящих соединение. Firewall сам определит порты, через которые работает ваш сервер, и даст добро на их открытие.

Куда сложнее обстоят дела с роутерами. Дело в том, что их сейчас большое множество. Потому открыть порты 21 и 20 через роутер каким-то универсальным способом не получится – у каждой марки и модели свои нюансы, в которых нужно разбираться. Если вы вообще никогда не влазили в настройки роутера, то лучше не спешите с этим. Почитайте на форумах, разберитесь в меню и функциях, и только затем пробуйте пробросить порт в роутере.

Зачастую блокировка порта связана с несколькими опциями, которые установлены в роутере. К примеру, это может быть не проставленная галочка возле опции UPnP. Данная опция необходима для того, чтобы программы автоматически пробрасывали порты через роутер и вас не тревожили. Как правило, если в роутере есть такая функция, то она активирована, но бывает всякое, и вполне может быть, что в вашем маршрутизаторе она отключена. Тогда вам осталось найти такой пункт настроек и поставить возле него одобрительную галочку для включения.

С другой стороны, порой порты нужно указывать в специальных пунктах настроек роутеров. Для этого вам нужно подключиться к роутеру через локальную сеть. Чтобы сделать это, посмотрите на нижней стороне маршрутизатора его IP-адрес, а затем введите его в адресную строку любого браузера. Перед вами откроется меню роутера, в котором нужно найти настройки подключения по локальной сети. В таких настройках, обычно, есть конфигурации семейств IP, которые могут подключаться к роутеру, а также порты, которые открыты для работы. Вам нужно указать диапазон портов, чтобы роутер их не блокировал. Не забудьте учесть диапазон, чтобы числа 20 и 21 вошли в него.

Обязательно ли использовать 21 порт

Люди, которые постоянно имеют дело с серверами и создают их, наслышаны о цифре 21. Для них она является знаковой, так как многие сервера и протоколы, не только FTP, используют 21 порт по умолчанию. И это плохо, если начать анализировать ситуацию. Ведь протокол передачи данных совсем не защищен от перехвата. В любой момент опытные хакеры могут напасть на ваш сервер и перехватить пароль и логин клиента. Затем они проникнут на сервер и украдут оттуда важные данные, либо спрячут в каталогах вредоносные программы и вирусы.

Чтобы хоть как-то повысить уровень безопасности использования протокола FTP, рекомендуется сменить в настройках стандартный порт, который нужен для подключения. Сделать это несложно, но у каждого сервера данная опция настраивается по-своему. Единственный нюанс заключается в том, что потом при подключении клиенту необходимо будет указывать новый номер порта вместо цифры 21. В этом и суть защиты – хакеры не будут знать порт, по которому нужно перехватывать данные, потому не сумеют их украсть.

Как SSH появился на 22 порту / Хабр

SSH

по умолчанию работает на порту 22. Это не совпадение. Вот история, как ему достался этот порт.

Когда я (Тату Илонен) впервые опубликовал эту историю в апреле 2017 года, она стала вирусной: её прочитали около 120 000 читателей за три дня.

Я написал первую версию SSH (Secure Shell) весной 1995 года. В то время широко использовались

Telnet

и

FTP

.

Но я всё равно разработал SSH для замены и telnet (порт 23) и ftp (порт 21). Порт 22 был свободен и удобно располагался между портами для telnet и ftp. Я подумал, что такой номер порта может стать одной из тех маленьких деталей, которые придадут некоторую ауру доверия SSH. Но как его получить? Я никогда не распределял порты, но я знал тех, кто этим занимается.

В то время процесс выделения портов был довольно простым. Интернет был меньше, и мы находились на самых ранних стадиях интернет-бума. Номера портов выделяла организация IANA (Internet Assigned Numbers Authority). В то время это означало уважаемых первопроходцев интернета Джона Постела и Джойс К. Рейнольдс. Среди всего прочего, Джон являлся редактором таких незначительных протоколов, как IP (RFC 791), ICMP (RFC 792) и TCP (RFC 793). Возможно, кто-то из вас слышал о них.


Меня откровенно пугал Джон как автор всех основных RFC для Интернета!

Так или иначе, но перед анонсом ssh-1.0 в июле 1995 года я отправил в IANA такое электронное письмо:

From ylo Mon Jul 10 11:45:48 +0300 1995
From: Tatu Ylonen <[email protected]>
To: Internet Assigned Numbers Authority <[email protected]>
Subject: request for port number
Organization: Helsinki University of Technology, Finland

Уважаемый сэр,

Я написал программу для безопасного входа с одной машины на другую по небезопасной сети. Это значительное улучшение безопасности по сравнению с существующими протоколами telnet и rlogin и их реализациями. В частности, она предотвращает спуфинг IP, DNS и маршрутизации. Мой план состоит в том, чтобы свободно распространять программу в интернете и обеспечить как можно более широкое её использование.

Я хотел бы получить зарегистрированный привилегированный номер порта для программы. Желательно в диапазоне 1-255, чтобы его можно было использовать в поле WKS на нейм-серверах.

Ниже прикладываю проект RFC для протокола. Программное обеспечение локально используется несколько месяцев и готово для публикации, за исключением номера порта. Если можно оперативно присвоить номер порта, я хотел бы выложить программу уже на этой неделе. В настоящее время в бета-тестировании я использую порт 22. Было бы отлично использовать этот номер (в настоящее время в списках он обозначен как «неприсвоенный»).

Название сервиса для программного обеспечения — «ssh» (Secure Shell).

С уважением,

Тату Илонен <[email protected]>

… затем следуют спецификации протокола ssh-1.0

На следующий день в почтовом ящике лежало письмо от Джойс:

Date: Mon, 10 Jul 1995 15:35:33 -0700
From: [email protected]
To: [email protected]
Subject: Re: request for port number
Cc: [email protected]

Тату,

Мы присвоили порт 22 для SSH, указав вас контактным лицом.

Джойс

У нас получилось! Теперь у SSH порт 22!!!

12 июля 1995 года в 2:32 утра я анонсировал окончательную бета-версию для своих бета-тестеров в Хельсинкском технологическом университете. В 17:23 выслал тестерам пакеты ssh-1.0.0, а в 17:51 отправил объявление о SSH (Secure Shell) в список рассылки [email protected]. Я также продублировал анонс в несколько новостных групп, списков рассылки и непосредственно отдельным людям, которые обсуждали смежные темы в интернете.

По умолчанию сервер SSH по-прежнему работает на порту 22. Однако бывает иначе. Одна из причин — тестирование. Другая — запуск нескольких конфигураций на одном хосте. Редко бывает, что сервер работает без рутовых привилегий, в этом случае он должен размещаться на непривилегированном порту (т. е. с номером 1024 или больше).

Номер порта можно настроить, изменив директиву Port 22 в /etc/ssh/sshd_config. Он также указывается параметром -p <port> в sshd. Клиент SSH и программы sftp тоже поддерживают параметр -p <port>.

Параметр

-p <port>

можно использовать для указания номера порта при подключении с помощью команды

ssh

в Linux. В

SFTP

и

scp

используется параметр

-P <port>

(примечание: заглавная P). Указание из командной строки переопределяет любое значение в файлах конфигурации.

SSH является одним из немногих протоколов, которому часто разрешено работать через файрволы на исходящий доступ, особенно в небольших и технических компаниях. Входящий SSH обычно разрешён к одному или нескольким серверам.

Исходящий SSH

Настройка исходящего SSH в файрволе очень проста. Если есть ограничения на исходящий трафик вообще, просто создайте правило, разрешающее исходящие соединения по порту TCP 22. Вот и всё. Если требуется ограничить адреса назначения, можно создать соответствующее правило, разрешив доступ только к серверам вашей организации в облаке или к

jump-серверу

, который защищает доступ к облаку.

Обратное туннелирование — это риск

Однако неограниченный исходящий SSH может быть рискованным. Протокол SSH поддерживает

туннелирование

. Основная идея в том, что сервер SSH на внешнем сервере прослушивает подключения отовсюду, переправляет их в организацию и устанавливает соединение с каким-то внутренним сервером.

В некоторых случаях это удобно. Разработчики и системные администраторы часто используют туннелирование, чтобы получить удалённый доступ из дома или с ноутбука во время путешествий.

Но обычно туннелирование нарушает политику безопасности и отнимает контроль у администраторов файрвола и команды ИБ. Например, оно может нарушать правила PCI, HIPAA или NIST SP 800-53. Его могут использовать хакеры и спецслужбы, чтобы оставить бэкдоры в локальной сети.

Программа CryptoAuditor контролирует туннелирование в файрволе или в точке входа в группу облачных серверов. Она работает в связке с Universal SSH Key Manager для получения доступа к ключам хоста, используя их для расшифровки сеансов SSH в брандмауэре и блокировки несанкционированного форвардинга.

Входящий SSH

Для входящего доступа есть несколько вариантов:

  • Настройте файрвол для пересылки всех подключений к порту 22 на определённый IP-адрес во внутренней сети или DMZ. Запустите по этому IP-адресу CryptoAuditor или jump-сервер, чтобы контролировать и проверять дальнейший доступ в организацию.
  • Используйте разные порты на файрволе для доступа к разным серверам.
  • Разрешайте доступ по SSH только после входа в систему с помощью VPN, обычно по протоколу IPsec.

Iptables — это файрвол хоста, встроенный в ядро Linux. Обычно он настроен для защиты сервера, предотвращая доступ ко всем портам, которые не были явно открыты.

Если на сервере включен iptables, следующие команды могут разрешить входящий доступа SSH. Их следует запускать из-под рута.

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Если хотите сохранить правила навсегда, то в некоторых системах это можно сделать командой:

service iptables save

Зачем мне нужен исходный порт на UDP



Когда я использую TCP, мне нужен порт назначения (чтобы иметь возможность «talk» к другому процессу на другом хосте) и порт источника (потому что TCP ориентирован на соединение, поэтому я буду отправлять данные обратно в источник, например ack, seq и многое другое). С другой стороны, UDP, который является бесконтактным, также нуждается в исходном порту.

Почему это? (Мне не нужно отправлять обратно данные)

tcp udp port
Поделиться Источник Dror     08 ноября 2015 в 12:31

3 ответа


  • Как получить исходный порт из пакета UDP при использовании recvmsg()

    У меня есть приложение в Linux, использующее C, в котором я создал сокет для приема пакета IPv6 UDP. Чтобы получить пакет, я использую recvmsg(), так как мне нужно получить ifindex, который я могу получить из CMSG_DATA() с параметром IPV6_PKTINFO. Теперь мне нужно, чтобы исходный порт также…

  • UDP клиентский исходный порт в C?

    Я пишу клиент UDP, и мне нужно упомянуть исходный порт моего пакета UDP в моих данных для отправки. Как моя программа может получить случайный номер порта, сгенерированный kernal, который клиент udp использует для отправки данных на сервер voip. так Как я могу указать конкретный порт источника UDP…



4

Вероятно, по двум причинам.

Во-первых, получателям часто приходится отвечать, и для этого полезно предоставить стандартный инструмент.

Во-вторых, у вас может быть несколько интерфейсов (сетевых карт), и, используя адрес источника, вы решаете, какой из них должен использоваться для передачи пакета.

Поделиться Valentin Tihomirov     08 ноября 2015 в 12:39



2

Вам это не нужно, но все еще есть возможность отправить ответ обратно (что на самом деле очень полезно), однако, как указано в RCF 768

Порт источника является необязательным полем, если оно имеет значение, оно указывает порт процесса отправки и может считаться портом, на который должен быть направлен ответ в отсутствие какой-либо другой информации. Если не используется, вставляется нулевое значение.

https://tools.ietf.org/html/ rfc768

Поделиться JoulinRouge     08 ноября 2015 в 12:37


Поделиться a3y3     14 марта 2019 в 21:02


Похожие вопросы:


UDP исходный порт отличается на клиенте getsocketname() и сервере recv()

Здравствуйте мой вопрос прост: Я пытаюсь установить соединение UDP через соединение TCP (потому что несколько клиентов подключены к серверу по нескольким каналам, и я хочу идентифицировать одних и…


Исходящие UDP указанный исходный порт меняется при пересечении государственной VIP на Azure VM

У нас есть Azure VM, и нам нужно отправить UDP сообщений с определенного порта этой машины. Мы используем .NET класс UdpClient для связи. Если мы попытаемся отправить сообщения между машинами в…


Библиотеки POCO: можно ли установить исходный порт UDP?

Я использую библиотеки POCO c++ и нахожусь в растерянности. Есть ли какой-нибудь способ установить исходный порт при отправке дейтаграммы UDP? Похоже, что он всегда настроен на порт назначения, но,…


Как получить исходный порт из пакета UDP при использовании recvmsg()

У меня есть приложение в Linux, использующее C, в котором я создал сокет для приема пакета IPv6 UDP. Чтобы получить пакет, я использую recvmsg(), так как мне нужно получить ifindex, который я могу…


UDP клиентский исходный порт в C?

Я пишу клиент UDP, и мне нужно упомянуть исходный порт моего пакета UDP в моих данных для отправки. Как моя программа может получить случайный номер порта, сгенерированный kernal, который клиент udp…


Получите датаграмму UDP и проанализируйте исходный порт

Я пытаюсь отправлять команды с помощью UDP. Приемник должен получить датаграмму UDP и ответить. Однако я хотел бы, чтобы ответ всегда отправлялся на исходный порт отправителя. Я знаю, как разобрать…


Когда устанавливается исходный порт UDP?

Я пишу очень маленький клиент C UDP. Я знаю, что случайный порт выбирается в качестве исходного порта при отправке данных на сервер. Я также знаю, что вы можете использовать bind, чтобы указать себе…


Установить исходный порт при отправке сообщения udp с помощью echo?

Я использую echo This is my data > /dev/udp/192.168.0.92/7891 в сценарии bash для проверки связи udp с устройством. Затем устройство возвращает сообщение. Я видел через wireshark, что мой…


Почему существует UDP? Что плохого в том, чтобы позволить пользователю отправлять необработанные пакеты IP?

Конечно, нам нужно указать исходный порт и порт назначения, но кроме того, зачем нам нужен UDP, когда мы могли бы просто отправить IP пакетов с той же полезной нагрузкой? Я не спрашиваю, почему я не…


Как установить исходный порт при отправке пакетов udp

На клиенте я хочу установить исходный порт UDP при отправке пакета udp. На сервере я хочу знать, на каком исходном порту был получен UDP. Клиент : package main import ( net ) func main() { s, err :=…

FileZilla FTP Server для домашней или офисной сети.

Установка и настройка FileZilla FTP Server.

Скачать инсталляционный пакет FileZilla Server для вашей версии операционной системы можно на странице проекта SourceForge

Установка сервера выполняется стандартным образом, за исключением пункта с выбором настроек панели управления сервером FileZilla Server Interface:

FileZilla Server Interface — это основное средство управления сервером, через которое выполняются все необходимые настройки. По умолчанию, панель управления работает на петлевом интерфейсе без доступа по паролю. При необходимости, например, если потребуется удаленное управление FTP-сервером, эти настройки можно будет изменить.

После завершения установки откроется окно приглашения для подключения к серверу:

После ввода IP-адреса, номера порта и пароля ( если вы задавали их в процессе установки ) открывается панель управления FileZilla Server: В верхней части окна находится основное меню и кнопки панели управления. Ниже располагаются две области — информационных сообщений сервера и статистической информации. В целом, панель управления FTP FileZilla Servver довольно простая и удобная в использовании. Пункты основного меню:

File — режимы работы панели управления FTP-сервером. Содержит подпункты

— Connect to Server — подключиться к серверу
— Disconnect — отключиться от сервера
— Quit — завершение работы панели управления.

Server — управление FTP-сервером. Содержит подпункты:

Active — запустить/остановить FTP-сервер. При установленной галочке FTP-сервер запущен, при снятой — остановлен.
Lock — запретить/разрешить подключения к серверу. При установленной галочке новые подключения к серверу запрещены.

Edit — редактирование настроек. Подпункты:

Settings — основные настройки сервера.
Users — настройки пользователей FTP-сервера
Groups — настройки групп пользователей.

В качестве примера, выполним настройки сервера для следующих условий:

  • сервер находится за NAT, имеет приватный IP-адрес, но должен быть доступен из Интернет, поддерживает пассивный режим и использует нестандартные TCP порты. Использование нестандартных портов позволяет уменьшить вероятность хакерских атак, и кроме того, некоторые провайдеры используют фильтрацию трафика и блокируют стандартные 20 и 21 порты.
  • пользователи имеют возможность скачивать с сервера , закачивать на сервер, удалять и переименовывать файлы и папки.
  • в случае использования динамического IP-адреса, требуется обеспечить доступность сервера по DNS-имени.
  • сервер будет функционировать на рабочей станции в среде ОС Windows 7 / Windows 8.
  • Другими словами, нужно создать доступный из Интернет FTP-сервер для обмена файлами между пользователями, разумеется бесплатно. Вполне понятно, что кроме создания необходимой конфигурации самого FTP — сервера, потребуется изменение некоторых настроек маршрутизатора, параметров брандмауэра Windows, решение проблемы динамического IP-адреса, чтобы сервер был доступен по имени, независимо от смены IP-адреса.

    Решение проблемы динамического IP-адреса.

    &nbsp &nbsp Данная проблема не требует решения в тех случаях, когда при подключении к интернет используется статический IP — адрес, или же динамический, но в соответствии с настройками провайдера, практически всегда один и тот же. В противном случае, можно воспользоваться технологией, получившей название Динамический DNS ( DDNS ) . Данная технология, позволяет почти в реальном масштабе времени обновлять информацию об IP-адресе на DNS-сервере, и получать доступ к маршрутизатору ( и службам за ним) по зарегистрированному имени, не обращая внимание на изменение динамического IP.

    Для бесплатной реализации данной технологии потребуется регистрация на каком-нибудь сервисе динамического DNS и установка клиентского программного обеспечения для обновления записи DNS в случае изменения соответствующего IP-адреса. Поддержку динамического DNS, как правило, осуществляют производители сетевого оборудования (D-Link, Zyxel и др.), некоторые хостинговые и специализированные компании, как например, широко известная DynDNS . Однако, после того, как во второй половине 2014 года, все услуги, которые предоставлялись зарегистрированным пользователям бесплатно для некоммерческого использования, стали платными, наиболее популярным решением, пожалуй, стало использование динамического DNS на базе сервиса No-IP.com, который в бесплатном режиме предоставляет услуги по поддержке 2-х узлов с динамическим IP. Для бесплатного использования сервиса потребуется регистрация, и периодическое (приблизительно 1 раз в месяц) посещение сайта для обновления информации об используемых узлах с динамическим IP. Эсли пропустить обновление данных об узле, то услуга приостанавливается, и соответственно, подключиться к узлу по имени станет невозможно. При платном использовании сервиса обновление не требуется.

    &nbsp &nbsp Практически все современные маршрутизаторы ( модемы ) имеют встроенную поддержку динамического DNS-клиента. Его настройка обычно очень простая, — заполняются поля с именем пользователя и паролем, а также с именем узла, полученные при регистрации на сервисе DDNS . Пример для Zyxel P660RU2

    &nbsp &nbsp Использование клиента DDNS, встроенного в маршрутизатор/модем предпочтительнее по сравнению с утилитой обновления данных DNS, работающей в среде ОС, поскольку позволяет реализовать дополнительные возможности, как например, управление маршрутизатором через Интернет при выключенном компьютере и удаленное включение электропитания компьютеров за NAT по технологии Wake On Lan.

    В тех же случаях, когда нет возможности использования встроенного клиента DDNS, придется обходиться прикладным программным обеспечением — программой-клиентом поддержки динамического DNS. Такая программа периодически подключается к серверу, поддерживающему зарегистрированное доменное имя, связанное с маршрутизатором, через который выполняется подключение к Интернет, и вызывает процедуру обновления IP, при его изменении. Настройки сервера выполнены таким образом, что сопоставление DNS-имени и IP-адреса интернет-подключения выполняется за очень короткое время, и динамический характер адреса практически никак не сказывается на работоспособности сервисов, связанных с DNS-именем.

    Порядок действий следующий:

  • Идем на сайт No-IP.com. Для работы с уже имеющейся или новой учетной записью используется кнопка «Sign In» (в верхней правой части страницы).

  • Создаем, если она еще не создана, свою учетную запись — жмем «Create Account». Форма регистрации периодически меняется, но обязательными являются ввод желаемого имени пользователя, пароля и вашего E-mail. На указанный при регистрации e-mail приходит письмо с ссылкой для подтверждения регистрации. При регистрации выбираем бесплатный доступ — жмем кнопку Free Sign Up после заполнения всех требуемых полей формы.
  • После успешной регистрации входим на сайт и добавляем запись для своего узла — жмем кнопку «Add Hosts»

    Фактически, необходимо ввести только выбранное имя узла, в данном случае — myhost8.ddns.net. Остальные параметры менять не нужно. Затем необходимо скачать и установить специальное программное обеспечение — Dynamic Update Client ( DUC), ссылка на который размещена на главной странице сайта. После завершения установки DUC выполнится его запуск и откроется окно авторизации, где нужно ввести имя пользователя или E-mail и пароль, полученные при регистрации на сайте no-ip.com. Затем нажать кнопку Edit Hosta и поставить галочку напротив созданного ранее имени узла ( myhost8.ddns.net ) . Теперь, выбранному имени узла будет постоянно соответствовать «белый IP-адрес» вашего подключения к Интернет. При возникновении проблем с обновлением IP-адреса, проверьте, не блокируется ли сетевая активность клиента DUC брандмауэром.

    Настройка FTP-сервера

    &nbsp &nbsp Использование нестандартных номеров портов для FTP-сервера совсем не обязательно, если провайдер не использует фильтрацию трафика, или вам безразлично сканирование портов на уязвимости и попытки подбора паролей. В данной статье, использование FTP-сервера с нестандартными TCP-портами, представлено в качестве одного из возможных вариантов.

    Настройки FileZilla Server выполняются через меню «Edit» -«Settings»

    Окно General Settings предназначено для общих настроек FTP-сервера.

    В поле «Listen on this port» можно указать номер порта для входящих TCP-соединений. По умолчанию в данном поле установлено значение 21, и для использования нестандартного номера нужно указать выбранное значение, например — 12321. Использование нестандартного TCP-порта имеет некоторое неудобство, поскольку требует обязательное указание его значения при создании сеанса:

    ftp://myhost8.ddns.net — вид ссылки для случая с использованием стандартных номеров портов.
    ftp://myhost8.ddns.net:12321 — вид ссылки для случая с использованием номера порта 12321.

    Если сервер планируется использовать как с доступом из Интернет, так и в локальной сети, есть смысл оставить стандартное значение 21, а нестандартный номер порта использовать для подключений из Интернет, настроив перенаправление пакетов, пришедших на порт 12321 маршрутизатора, на порт 21 FTP-сервера в локальной сети. При такой настройке, для FTP-сессий внутри локальной сети указывать номер порта не нужно.

    Прочие параметры предназначены для настройки производительности и таймаутов сессий. Их можно оставить без изменений. Остальные разделы общих настроек можно также оставить по умолчанию:

    Welcome Message — текст, который передается клиенту при подключении.

    IP Binding — на каком сетевом интерфейсе будут ожидаться клиентские подключения. По умолчанию — на любом, но можно указать конкретный, например — 192.168.1.3.

    IP Filter — настройка правил фильтрации IP-адресов клиентов. По умолчанию — разрешены подключения для любых IP.

    Раздел Passive mode settings служит для настроек пассивного режима FTP и потребует изменения практически всех параметров, принятых по умолчанию.

    Номера портов, которые будут использоваться для передачи данных в пассивном режиме, нужно задавать вручную, поскольку потребуется настройка маршрутизатора для перенаправления их на слушаемый сервером сетевой интерфейс. Поэтому нужно установить галочку на разрешение режима «Use custom port range» и задать диапазон — например от 50000 до 50020. Количество портов, слушаемых сервером, определяет предельное число одновременных сеансов передачи данных.

    Подраздел IPv4 specific определяет IP — адрес, который будет отправляться сервером в ответ на команду PASV. В данном случае, это должен быть не собственный IP сервера 192.168.1.3, а «белый IP» нашего подключения к Интернет. Поэтому нужно установить режим «Use the following IP» и вместо IP-адреса ввести имя, полученное при регистрации на сервисе динамического DNS — myhost8.ddns.net. В качестве альтернативы, можно использовать режим определения внешнего IP-адреса средствами проекта FileZilla, включив. «Retrieve external IP Address from:». Данный вариант можно выбрать в тех случаях, когда нет возможности использовать средство динамического DNS. Если предполагается использование FTP — сервера в своей локальной сети, нужно установить режим «Don’t use external IP for local connections» (не использовать внешний IP-адрес для соединений внутри локальной сети)

    Остальные настройки сервера можно оставить без изменений или, при необходимости, выполнить позже: Security settings — настройки безопасности. По умолчанию — запрещены соединения, которые могут быть использованы для реализации DDoS-атак

    Miscellaneous — настройки размеров буферов и прочих параметров журналов и некоторых команд FTP.

    Admin Interface settings — настройки панели управления сервером. Можно указать сетевой интерфейс, номер слушаемого порта, IP-адреса, с которых разрешено подключение к панели управления и пароль.

    Logging — настройки журнала событий сервера. По умолчанию, запись в файл не выполняется.

    Speed Limit — настройки ограничения скорости передачи данных. По умолчанию — без ограничений.

    Filetransfer compression — настройки сжатия файлов при передаче. По умолчанию — без сжатия.

    SSL/TLS settings включение режима шифрования передаваемых данных. По умолчанию — без шифрования.

    Autoban — включение автоматической блокировки пользователей, подбирающих пароль для подключения. По умолчанию, автоматическая блокировка выключена.

    Настройка перенаправления портов и брандмауэра

    Для того, чтобы FTP-сервер был доступен из Интернет, необходимо выполнить настройки маршрутизатора таким образом, чтобы входящие соединения, пришедшие на определенные TCP-порты внешнего интерфейса, перенаправлялись на TCP — порты, слушаемые FTP-сервером внутренней сети. Для различных моделей маршрутизаторов настройки могут отличаться терминологией, но смысл их один и то же — принятый на внешнем (WAN) интерфейсе TCP-пакет с определенным номером порта переслать в локальную сеть на нужный IP-адрес и порт. Пример настроек маршрутизатора D-Link DIR-320NRU для перенаправления портов, используемых для пассивного режима FTP :

    Пакеты, принятые на интерфейсе с «белым IP» и имеющие номера портов в диапазоне 50000-50020 будут перенаправляться на IP-адрес, задаваемый полем «Внутренний IP» ( в нашем случае — 192.168.1.3 ). Аналогичным образом создается перенаправление для порта 50021, если вы изменили номер стандартного порта, или на порт 21 FTP-сервера, если вы оставили его без измененния.

    После применения данных настроек, FTP-сервер будет доступен по URL ftp://myhost8.ddns.net:50021 или, для соединения внутри локальной сети:

    ftp://192.168.1.3 — если вы не изменяли стантартный номер порта ( 21 ) в настройках FTP-сервера.

    ftp://192.168.1.3:50021 — если используется нестандартный номер порта.

    Вместо IP-адреса можно использовать имя компьютера, если оно может быть разрешено в IP-адрес

    ftp://comp1

    ftp://comp1.mydomain.ru

    Диагностика проблем

    Если подключение к FTP — серверу не происходит, то возможно, возникли проблемы с блокировкой брандмауэром соединений, необходимых для работы созданного FTP-сервера. Если используется встроенный брандмауэр Windows, то необходимо добавить правило, разрешающее сетевую активность для службы «FileZilla FTP server». Если используется сторонний брандмауэр или антивирус с фильтрацией трафика, то необходимо создать соответствующее правило имеющимися средствами настроек для разрешения сетевых соединений. Возможны варианты, когда настройки делаются для разрешения любой сетевой активности конкретной программы, или для разрешения выбранных адресов и портов, применяемых ко всем программам.

    Начать диагностику лучше всего на самом FTP-сервере. В качестве средства диагностики, можно использовать стандартный telnet — клиент (утилита telnet.exe ) . Все брандмауэры не блокируют соединения на петлевом интерфейсе и для проверки правильности настроек сервера можно подключиться к нему введя команду:

    telnet localhost 21 — если используется стандартный номер порта.

    telnet localhost 50021 — если был изменен стандартный номер порта.

    При выполнении данной команды происходит подключение к FTP-серверу по петлевому интерфейсу и в окне telnet должно отобразиться приглашение сервера ( Welcome Message ). Если этого не происходит, возможно, сервер остановлен, имеет место конфликт портов, или слушается не порт 21 (50021) . Для диагностики можно использовать команду netstat:

    netstat –nab

    Параметры командной строки означают:

    n — использовать числовые номера портов и адреса IP

    a — отображать все соединения и слушаемые порты

    b — отображать имена программ, участвующих в создании соединений.

    Пример отображаемых результатов выполнения команды:

    Активные подключения

    Имя &nbsp &nbsp Локальный адрес &nbsp &nbsp Внешний адрес &nbsp &nbsp Состояние
    TCP &nbsp &nbsp &nbsp &nbsp 0.0.0.0:21 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp 0.0.0.0:0 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp LISTENING
    [FileZilla Server.exe]
    TCP &nbsp &nbsp &nbsp &nbsp 0.0.0.0:135 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp 0.0.0.0:0 &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp &nbsp LISTENING
    RpcSs

    В колонке Локальный адрес имеется значение 0.0.0.0:21, которое говорит о том, что программа с именем FileZilla Server.exe слушает ( состояние LISTENING) TCP порт с номером 21 на всех сетевых интерфейсах. Если в настройках FTP-сервера был указан конкретный интерфейс и другой номер порта, то это значение будет содержать IP:порт, например – 192.168.1.3:50021

    Для вывода результатов в постраничном режиме, можно воспользоваться командой:

    netstat -nab | more

    Или использовать поиск результатов по номеру порта: netstat -nab | find «:21»

    Если сервер недоступен на непетлевом интерфейсе , и доступен на петлевом — нужно разбираться с настройками брандмауэра.

    Настройка пользователей и групп.

    Настройка пользователей и групп выполняется через меню «Edit» — «Users» ( «Groups» ). Группы создавать необязательно, но иногда удобно, для тех случаев, когда имеется большое количество пользователей, и их права по отношению к FTP-серверу различаются. Настройки и групп и пользователей практически идентичны:

    В данном примере отображен результат добавления пользователя FTP-сервера с именем user1 имеющего полные права на запись, чтение, удаление и слияние файлов, а также на просмотр содержимого, удаление и создание подкаталогов в каталоге C:\ftp\public

    На странице General выполняется добавление, удаление и изменение свойств пользователей.
    На странице Shared Folders выполняются настройки, определяющие перечень каталогов файловой системы, которые будут использоваться FTP-сервером для предоставления доступа к ним по протоколу FTP. Каждому пользователю или группе пользователей может предоставлен свой каталог с определенными правами по отношению к его содержимому.
    На странице Speed limits можно задавать ограничения по скорости обмена данными.
    На странице IP Filter можно задать правила фильтрации для IP — адреса пользователя, указав адреса с которых запрещено или разрешено подключение к серверу .

    Список основных команд FTP

    ABOR — Прервать передачу файла
    CDUP — Сменить директорию на вышестоящую.
    CWD — Сменить текущую директорию.
    DELE — Удалить файл (DELE filename).
    HELP — Выводит список команд принимаемых сервером.
    LIST — Возвращает список файлов директории. Список передается через соединение данных (20 порт).
    MDTM — Возвращает время модификации файла.
    MKD — Создать директорию.
    NLST — Возвращает список файлов директории в более кратком формате чем LIST. Список передается через соединение данных (20 порт).
    NOOP — Пустая операция
    PASV — Войти в пассивный режим. Сервер вернет адрес и порт к которому нужно подключиться чтобы забрать данные. Передача начнется при введении команд RETR, LIST и т.п.
    PORT — Войти в активный режим. Например PORT 12,34,45,56,78,89. В отличие от пассивного режима для передачи данных сервер сам подключается к клиенту.
    PWD — Возвращает текущую директорию сервера.
    QUIT — Отключиться
    REIN — Реинициализировать подключение
    RETR — Скачать файл. Перед RETR должна быть команда PASV или PORT.
    RMD — Удалить директорию
    RNFR и RNTO — Переименовать файл. RNFR — что переименовывать, RNTO — во что.
    SIZE — Возвращает размер файла
    STOR — Закачать файл на сервер. Перед STOR должна быть команда PASV или PORT.
    SYST — Возвращает тип системы(UNIX, WIN,)
    TYPE — Установить тип передачи файла(A- текстовый ASCII, I — двоичный)
    USER — Имя пользователя для входа на сервер

    Пример FTP-сессии

    FTP-клиент подключается к серверу с именем пользователя user1, пустым паролем и скачивает файл с именем cpu-v. Красным цветом выделены сообщения FTP-сервера, синим — FTP-клиента. Обмен директивами и параметрами может незначительно отличаться для разных версий программного обеспечения FTP-клиента и FTP-сервера.

    После подключения, сервер передает клиенту сведения о себе:
    220-FileZilla Server version 0.9.45 beta
    220-written by Tim Kosse ([email protected])
    220 Please visit http://sourceforge.net/projects/filezilla/
    Клиент передает имя пользователя:
    USER user1
    Сервер запрашивает ввод пароля:
    331 Password required for user1
    Клиент передает пустой пароль:
    PASS
    Сервер проверяет учетную запись пользователя и сообщает о начале сеанса:
    230 Logged on
    Клиент запрашивает тип операционной системы на сервере:
    SYST
    Сервер сообщает, что тип Unix, эмулируемый Filezilla-сервером:
    215 UNIX emulated by FileZilla
    Клиент запрашивает перечень параметров, поддерживаемых сервером:
    FEAT
    Сервер отвечает перечнем поддерживаемых параметров:
    211-Features:
    MDTM
    REST STREAM
    SIZE
    MLST type*;size*;modify*;
    MLSD
    UTF8
    CLNT
    MFMT
    211 End
    Клиент запрашивает текущий каталог сервера:
    PWD
    Сервер сообщает, что текущий каталог – корневой («/»):
    257 «/» is current directory.
    Клиент сообщает, что будет передавать двоичные данные:
    TYPE I
    Сервер подтверждает тип передаваемых данных:
    200 Type set to I
    Клиент сообщает, что будет использовать пассивный FTP-режим:
    PASV
    Сервер сообщает о переходе в пассивный режим и передает IP и порт для пассивного FTP-режима.
    227 Entering Passive Mode (212,248,22,114,195,97)
    Клиент запрашивает прием файла с именем cpu-v из текущего каталога сервера
    RETR cpu-v
    Сервер сообщает о начале передачи данных:
    150 Opening data channel for file download from server of «/cpu-v»
    По завершении, сервер сообщает об успешной передаче:
    226 Successfully transferred «/cpu-v»

    В заключение добавлю, что проект Filezilla включает в себя не только разработку и поддержку качественного бесплатного FTP-сервера, но и популярного бесплатного FTP-клиента

    Установка и настройка Filezilla FTP Client статья с кратким описанием бесплатного FTP клиента для Linux, Mac OS и Windows. Данный FTP клиент поддерживает множество прикладных протоколов передачи данных — FTP, FTP поверх SSL/TLS (FTPS), SSH File Transfer Protocol (SFTP), HTTP, SOCKS и FTP-Proxy. Другими словами, Filezilla FTP Client — это универсальное программное обеспечение для приема и передачи файлов по всем современным прикладным протоколам между узлами на различных платформах.

    Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

    Хак с самого начала — «Хакер»

    Так вот начнем. Как же надо
    хакать и с чего начать? Для начала попробуй
    просканировать несколька IP по разным
    портам. Ты увидишь, что некоторые компьютеры
    отвечают, а некоторые нет. Некоторые компьютеры
    ответят и только некоторые, возможно некоторые
    из найденых будут плохо защищенными и ждать пока
    ты из взломаешь.

    Небольшое отступление: Ты
    скажешь что это за фигня такая — порты и прочая
    лабуда ? Порт — это адрес определенного сервиса
    запущенного на данном компьютере в интернете.
    Также их очень часто называют TCP/IP (Transfer Control
    Protocol/Internet Protocol) порты, так как на них может
    обратиться другой пользователь из
    интернета.Примером может служить принтер или
    модем —  они ведь тоже обращаются с компьютером
    через свои порты.Как только человек выходит в
    интернет, он сразу же получает свой уникальный IP
    адрес (например: ppp103-3-5.dialup.glasnet.ru).После этого
    любой желающий может воспользоваться твоими
    ресурсами (которые доступны) также, как и те его
    ресурсами. Для того, чтобы воспользоваться
    услугами, необходимо указать IP:port чтобы
    воспользоваться той или иной услугой (к примеру
    195.34.34.30:21 — для того, чтобы попасть на FTP сервер zone.ru)

    Теперь ты возможно
    приконнектишься к какому нибедь сервакук порту 23
    (порт telnet`a) (для тех кто в танке: пуск => выполнить
    => telnet ip:port. Если не указывать порт, то по
    умолчанию это 23 порт).Если ты нормально
    приконнектишься, то увидишь приглашение с
    просьбой ввести логин и пароль. Но поскольку ты
    не знаешь логина/пароля, то сервер через
    некоторое время пошлет тебя подальше. Если тебе
    нечего делать, то можешь попытаться поперебирать
    пароли, а когда  надоест, можешь читать дальше.

    Если попробовать
    приконнектиться к серверу не через 21 порт, а
    через какие нибудь другие порты, то при большом
    везении сервер тебе скажет что ты  
    приконнектился удачно и ты сможешь легко найти
    нужную комбинацию. Это самый  простой способ
    взламывания серверов.Можно проявить себя как
    «Белый хакер в  шляпе» — посылаешь письмо
    сисадмину и уходишь с этого сервера (типа
    незаконно и все в таком духе). Ну а если ты никогда
    не слышал про 273-275 статью УК РФ, то… ну я думаю ты
    сам догадаешься что тебе делать ;-))

    Небольшое отступление: Сервак —
    компьютер подключенный к интернету.Сервис —  
    программа запущенная на серваке на определенном
    порту.Каждая такая программа должна отвечать на
    определнные программы. Если ты дашь этой
    программе правильную комманду, то она должна
    что-то сделать для тебя. Самый простейший пример —
    сервис «ЭХО» или по другому — генератор
    символов (порт 19).Если ты приконнектишься
    телнетом по этому порту к компьютеру у которого
    запущен этот сервис, эта программа будет
    реагировать на любой нажатый тобой символ и
    будет показывать его в окне телнета. Все что тебе
    нужно — приконнектиться к серваку на котором
    запущен нужный тебе сервис. Другой пример — это
    сервис поиска нужного человека в сети (Finger). Если
    ты задашь этой программе искать какого либо
    человека с другого хоста и при этом программа finger
    запущена на сервере, а также пользователь не
    сделал так, чтобы его эта программа не находила,
    то ты получишь об этом пользователи очень 
    много полезной инфы.

    Какие сервисы запущены на
    каких портах и откуда об этом узнать ? Порты
    находятся в диапазоне от 1 до 1024 и называются
    «хорошо известные порты» (well-known) Подробней о
    этом можно почитать в RFC стандартах (http://www.internetnorth.com.au/keith/networking/rfc.html).
    Также списаок использованных портов можно
    посмотреть в файле на компьютере, который
    называется «services». В втоем любимом МастДАЕ (10
    раз МастДАЙ !) он находится в C:\_твой_MUSTDIE_\SERVICES\ В NT
    (тоже МастДАЙ, но получше) это
    C:\WINNT\SYSTEM32\DRIVERS\ETC\SERVICES Ну а в ЮНИХЕ это /etc/services/
    (хотя если у тя стоит ЮНИХ я думаю те это
    объяснять не надо). Эти порту называются хорошо
    известными, так как он используются для наиболее
    распростроненных сервисов (WWW, Ё-mail, FTP, news, telnet и
    так далее) SMTP — отправка почты 25 порт, POP3 — прием
    почты 110 порт, WWW — 80 порт FTP — 21 …
    Хороший ФАК (в смысле ЧАВО — ЧАсто задаваемые
    ВОпросы, а не то что ты подумал !) (правда
    англицкий) по TCP/IP портам лежит по адресу http://www.technotronic.com/tcpudp.html

    Ты можешь быть сбит с толку тем,
    то что существует куча прог для сканирования
    всего, чего только возможно и хакеры ими ооочень
    часто пользуются. НО ! При этом ты можешь
    нарваться на неприятности, так как у сисадминов
    есть привычка (далеко не лучшая в твою пользу)
    просматривать логи всех коннектов и по каким
    портам а так же попытки взлома ихнего сервера.
    Некоторые сисадмины свободно разрешают сканить
    ихние серверы, а некоторые увидев что-нибудь не
    ладное сразу откапывают твоего сисадмина и
    жалуются ему какой ты нехороший (в
    исключительных случаях это может окончиться тем,
    что тебя отключит из инета твой пров навсегда !). В
    США сканирование разрешено и сами сисадмины
    часто сканят друг друга в целях нахождения дырок.
    Но от греха подальше если кого-нить
    собираешьсясканить из добрых побуждений — лучше
    попроси разрешение или хотя бы уведоми об этом
    сисадмина.

    Так что же такое дырки в
    сиистемах о которых столько говорят? Дырка —
    что-нибудь в системе, которое позволяет
    кому-нибудь контролировать систему в обход
    сисадмина.Существует очень много типов дырок.Это
    может быть неправильно сконфигурированная
    программа, ошибка в самой программе… Наглядным
    примером плохо сконфигурированной программы
    может служить старая  версия программы sendmail —
    если сиадмин оставлял команды wiz и debug или дли
    директории неправильные права доступа на FTP
    сервере, то любой желающий мог скачать файл
    паролей ;-)) В таких слуаях вся вина лежит на
    сисадминах, так как ошибка допущена при
    конфигурировании, а не из-за самой программы.
    Другой очень известный и распрастроненный баг —
    расшаривание ресурсов в  МастДае когда это
    совершенно не нужно или пустой пароль на полный
    доступ. Из ошибок программ самые
    распространенные — переполнение буфера обмена у
    программ созданных для интернета. Очень часто
    это используют для того, чтобы перехватить
    контроль над серваком и потом делать с ним все
    что твоей душе угодно. Ну а теперь перейдем к
    очень известному сейчас виду атак — Эксплоитам.
    Ты уже наверно не раз слышал об этой атаке, но не
    врубал что это такое и как этим пользоваться. Так
    вот. Эксплоит — это программа написанная на Си++,
    используящая дырки в
    системе для получения прав рута (root) — самого
    главного человека, которому доступно ВСЕ !!! К
    примеру это так называемая FTP-Bounce дырка,
    заключаемая в том, что FTP сервер (служит для
    скачки/закачки файлов с сервера/на сервер)
    настроен так, чтобы переадрисовывать запрос
    пользователя на другой компьютер. По идее эта
    фича вообще нафиг не нужна (в смысле для
    сисадминов — нам она как раз таки и нужна ;-)))Это
    только создает возможность взлома, так как эта
    фича позволяет
    любому человек просканить порты другого
    компьютера и представиться компьютеру FTP
    сервером с которого идет по типу переадресация и
    этот человек получит «ключи от квартиры где
    деньги лежат». Вообще эксплоиты наиболее
    практические и довольно таки легко применяются
    (если голова с руками растет откуда надо). С
    эксплоитом можно хорошо поиздеваться над
    сисадмином а также над его системой (ой — а зачем
    вот эти файлы — они тут вааааще не нужны ! ;-)) ).
    Эксплоит хорош еще тем, что он не ломает систему
    (сам справишься !) а только дает тебе «ключи».
    Как ты знаешь сейчас серваки стоят как минимум на
    трех типах платформ : NT, VMS и UNIX. Их куча разных
    версий и типов — UNIX делится на BSD, AIX, SCI, Sun OS, Irix и
    (наверно) твой любимый ЛИНУХ. Ну и конечно же
    каждая версия глючит по разному и по этому под
    разные типы и версии существуют эксплоиты так
    сказать «нужного калибра», ведь как ты
    понимаешь эксплоит
    сделанный под NT не будет пахать под UNIX, а
    сделанный для Sun OS не будет пахать под Линух (ну
    хакеру не проблема переделать эксплоит для одной
    версии «на лету» для другой — на то он и
    хакер).Ну а разные версии не будут пахать так как
    очень часто вообще меняют прогу которая стоит,
    только оставляют тоже имя и номер версии
    чуть-чуть переделывают. Ну и конечно же все дырки
    рано или поздно фиксят и нужно стараться
    пользоваться новыми эксплоитами. Ну а теперь
    самое главное — как же найти эти дырки ?

    Ну для начала посмотри что у
    тебя из сервисов есть на компе — набери команду
    netstat -a (в Пуск => выполнить) и ты увидишь что-то
    типа этого :
    Active Connections
    Proto  Local Address       Foreign
    Address      State
    TCP   
    localhost:1027      0.0.0.0:0           LISTENING
    TCP   
    localhost:135       0.0.0.0:0           LISTENING
    TCP   
    localhost:135       0.0.0.0:0           LISTENING
    TCP   
    localhost:1026      0.0.0.0:0           LISTENING
    TCP   
    localhost:1026      localhost:1027      
    ESTABLISHED
    TCP   
    localhost:1027      localhost:1026      
    ESTABLISHED
    TCP   
    localhost:137       0.0.0.0:0           LISTENING
    TCP   
    localhost:138       0.0.0.0:0           LISTENING
    TCP    localhost:nbsession 
    0.0.0.0:0           LISTENING
    UDP    localhost:135       *:*
    UDP    localhost:nbname     *:*
    UDP    localhost:nbdatagram *:*

    Хммм … вроде ничего
    интересного. Ну начнем разгребать что это такое
    появилось:

    Мы видим что у Local Adres (твой комп)
    прослушиваются порты 135, 137, 138 и ‘nbsession’ (вообщем
    это 139 порт прослушивается … ну можешь
    напесатать netstat -an чтобы увидеть не название
    портов, а их номера. Ну насчет этих портов можешь
    не беспокоиться — это часть Microsoft Networking и они
    нужны для поддержки LAN (локалки, ну в смысле
    локадьной сети). Теперь зайди в инет и топай хмммм
    … допустим на www.uxx.com, хотя нет, лучше на www.happyhacker.org. Одновременно
    телнеться на какой-нить сервак (ну допустим www.whitehouse.gov). Теперь снова жми
    netstat -a и вот что у тебя примерно должно
    получиться:
    Active Connections
    Proto  Local Address      Foreign
    Address     State
    TCP    localhost:1027    
    0.0.0.0:0           LISTENING
    TCP    localhost:135     
    0.0.0.0:0           LISTENING
    TCP    localhost:135     
    0.0.0.0:0           LISTENING
    TCP    localhost:2508    
    0.0.0.0:0           LISTENING
    TCP    localhost:2509    
    0.0.0.0:0           LISTENING
    TCP    localhost:2510    
    0.0.0.0:0           LISTENING
    TCP    localhost:2511    
    0.0.0.0:0           LISTENING
    TCP    localhost:2514    
    0.0.0.0:0           LISTENING
    TCP    localhost:1026    
    0.0.0.0:0           LISTENING
    TCP    localhost:1026    
    localhost:1027      ESTABLISHED
    TCP    localhost:1027    
    localhost:1026      ESTABLISHED
    TCP    localhost:137     
    0.0.0.0:0           LISTENING
    TCP    localhost:138     
    0.0.0.0:0           LISTENING
    TCP    localhost:139  
    0.0.0.0:0           LISTENING
    TCP    localhost:2508    
    zlliks.505.ORG:80   ESTABLISHED
    TCP    localhost:2509    
    zlliks.505.ORG:80   ESTABLISHED
    TCP    localhost:2510    
    zlliks.505.ORG:80   ESTABLISHED
    TCP    localhost:2511    
    zlliks.505.ORG:80   ESTABLISHED
    TCP    localhost:2514    
    whitehouse.gov:telnet  ESTABLISHED

    Ну теперь посмотрим что в этот
    раз за лабуду выдало. Ну те же порты что и по
    начало, вот только добавилось несколько новых
    активных портов — 4 коннекта с zllinks.505.ORG по 80 порту
    и коннект с whitehouse.gov телнетом.Это полная
    статистика того, что происходит с твоим компом и
    инетом. Так ты узнал настоящее имя сервака
    www.happyhacker.org (zlliks.505.ORG) По идее у тебя должен
    возникнуть вопрос — а какого черта есть порты, у
    которых номера болше 1024 ??? Так вот, если ты
    помнишь начало статьи, то я там говорил, что эти
    порты ждут коннекта к ним. Но вот если эта
    программа коннетиться куда-нить, то ей помимо
    своего порта еще нужен какой-нибудь порт для
    приема информации, и этот порт берется за
    пределами этих 1024 портов. Так понятно ? К примеру
    брацзер может открыватьдо четырех портов — с 2508
    по 2511. Теперь ты возможно захочешь посканить
    порты друга ? Лучший способ сделать это и не
    бояться быть выкинутым из инета своим
    провайдером — подпроси друга (подругу) набрать
    netstat -r.Тады у него появится около того:
    Route Table
    Active Routes:
    Network Address  Netmask       Gateway
    Address  Interface       Metric
    0.0.0.0        
    0.0.0.0        198.59.999.200  
    198.59.999.200      1
    127.0.0.0      
    255.0.0.0      127.0.0.1       
    127.0.0.1           1
    198.59.999.0    255.255.255.0  
    198.59.999.200  198.59.999.200       1
    198.59.999.200  255.255.255.255
    127.0.0.1       127.0.0.1           1
    198.59.999.255  255.255.255.255 198.59.999.200  
    198.59.999.200      1
    224.0.0.0      
    224.0.0.0      198.59.999.200  
    198.59.999.200      1
    255.255.255.255 255.255.255.255 198.59.999.200  
    0.0.0.0             1
    Active Connections
      Proto  Local
    Address         Foreign
    Address        State
      TCP   
    lovely-lady:1093      mack.foo66.com:smtp    
    ESTABLISHED

    Gateway Address и Interface покажут
    ему твой реальный IP (ну или IP сервера, если ты
    сидишь через локальную сеть). Учти если твой друг
    сидит в локалке, то  пржде 10 раз подумай чем его
    сканить, а то сисадминам очень не нравится, когда
    какой недохакер (как они считают) пытается их
    поломать и могут пойти на все меры лишь бы
    отомстить и поразвлечься (иногда самое
    безобидное — синий  экран)

    Что такое FTP? — Dropbox

    Для чего нужен FTP?

    FTP расшифровывается как «File Transfer Protocol», или «протокол передачи файлов». Давайте разберем это понятие. По сути, протокол — это набор процедур или правил, позволяющих электронным устройствам взаимодействовать между собой. FTP — это набор правил, которые устройства в сети TCP/IP (Интернет) используют для передачи файлов. При пользовании Интернетом вы фактически применяете ряд различных протоколов. Для просмотра веб-страниц используется протокол HTTP. Для отправки и получения мгновенных сообщений — протокол XMPP. FTP — это, попросту говоря, протокол для перемещения файлов.

    Что такое FTP-сервер?

    FTP-серверы — это программные приложения, которые позволяют пересылать файлы с одного устройства на другое. Это звучит сложно, но, по сути, FTP-серверы — это обычные компьютеры с FTP-адресом, предназначенные для приема и передачи данных. Они выполняют две простые задачи: получают файлы (команда «get») либо пересылают их (команда «put»). Иными словами, вы можете либо получать файлы с FTP-сервера, либо передавать их на FTP-сервер. Загружаемые вами файлы будут передаваться с вашего персонального устройства на сервер. А скачиваемые файлы будут передаваться с сервера на ваше персональное устройство. Таким образом, на базовом уровне FTP-серверы являются промежуточным звеном между получателем и отправителем.

    Как работает FTP?

    FTP — это протокол типа «клиент — сервер». Иначе говоря, клиент запрашивает файлы, а сервер предоставляет их. Поэтому FTP использует два основных канала для установки соединения: канал передачи команд (инициирует команду и содержит основную информацию, к каким файлам должен быть получен доступ) и канал передачи данных (передает данные файлов между двумя устройствами). Чтобы установить соединение, пользователи должны предоставить учетные данные для FTP-сервера, который обычно использует порт 21 в качестве канала связи по умолчанию. Также важно отметить, что существует два разных режима FTP-соединения: активный и пассивный.

    В активном режиме сервер играет активную роль, подтверждая запрос данных. Но в активном режиме иногда могут возникать проблемы с брандмауэрами, которые блокируют неавторизованный доступ третьих лиц. Именно в этих случаях используется пассивный режим. В пассивном режиме сервер не поддерживает активное соединение, а это означает, что пользователь создает как канал передачи данных, так и канал передачи команд. По сути, сервер «слушает», но не принимает активного участия в процессе, позволяя другому устройству выполнять основную часть работы.

    Какие проблемы можно решать с помощью FTP?

    FTP часто используют для обработки большого количества файлов, поэтому он может быть очень полезным при разработке веб-приложений. При внесении изменений в веб-сайт вы можете управлять пересылкой файлов с помощью FTP-сеанса, что упрощает загрузку определенных файлов, добавление файлов изображений, перемещение веб-шаблонов и т. д. Также ИТ-специалисты могут использовать протокол передачи файлов для пересылки больших пакетов файлов сервера в закрытой системе.

    Преимущества и недостатки FTP

    FTP имеет несколько преимуществ, о которых стоит упомянуть. Поскольку этот протокол существует уже давно, большинство людей знакомы с ним. Также есть множество инструментов для настольных ПК, например FileZilla, WinSCP, Cyberduck и многие другие, которые значительно упрощают использование протокола FTP. Стоит отметить, что FTP имеет несколько полезных функций, таких как возможность одновременной пересылки нескольких файлов, возможность возобновления передачи в случае потери соединения, а также возможность планирования передач.

    Однако у FTP есть один изъян — недостаточная безопасность. Протокол FTP был разработан в 1970-х годах, то есть без учета многих мер кибербезопасности, на которые мы привыкли полагаться в современном мире. Поскольку он не разрабатывался как защищенный протокол, данные по FTP передаются в незашифрованном виде. Это означает, что ваши пароли, имена пользователей и другие конфиденциальные данные могут легко прочитать хакеры, перехватив соответствующие пакеты данных (например, путем атаки для захвата пакетов).

    Из-за таких лазеек в системе безопасности поддержка FTP постепенно прекращается, и на рынке появляются различные варианты его замены, такие как SFTP, HTTPS, AS2 и FTPS. Начиная с 2020 года Google Chrome по умолчанию отключает поддержку FTP, а Firefox удалил FTP из своего кода. Если вы все еще используете FTP-серверы для важных бизнес-задач, возможно, сейчас самое время найти альтернативу. Давайте рассмотрим более детально протокол SFTP, который пришел на смену FTP.

    Что такое SFTP?

    Если вы изучали протокол FTP, наверняка вам не раз встречался такой термин, как SFTP. Так что же такое SFTP? По сути, SFTP (SSH-протокол передачи файлов) — это отдельный протокол, который работает с потоком данных SSH (Secure Shell) для обеспечения более высокого уровня защиты при передаче файлов. В отличие от клиентов FTP, которые используют порт 21, протокол SFTP использует порт 22. Поскольку FTP является небезопасным протоколом, SFTP — более предпочтительный вариант: он предполагает базовый набор средств защиты и возможность передачи данных с отложенным подтверждением через SSH-соединение.

    Как можно использовать Dropbox вместо FTP-сервера?


    Поскольку поддержка FTP прекращается, а угрозы кибербезопасности становятся все более изощренными, имеет смысл поискать альтернативные варианты для управления доступом к файлам вашей компании и их пересылки. Dropbox может стать эффективной альтернативой FTP, так как предлагает безопасный и беспроблемный способ обмена файлами. Какой именно? Очень несложный. Dropbox Transfer — простой и безопасный сервис пересылки файлов, который идеально подходит для доставки больших файлов (вы можете пересылать файлы размером до 100 ГБ кому угодно, независимо от того, есть ли у получателя аккаунт Dropbox или нет). Кроме того, Dropbox Transfer подтверждает доставку пересылаемых файлов и уведомляет об их скачивании. Вы также можете контролировать доступ с помощью защиты паролем, зная, что ваши файлы будут просматриваться только теми людьми, которым вы хотите предоставить доступ.

    Заключительные соображения

    Так что же такое FTP? FTP — это эффективный способ пересылки файлов, который несколько устарел. Сейчас доступны другие сетевые протоколы, превосходящие по своим возможностям FTP, например SFTP как облачная услуга. Более того, Dropbox может предложить эффективное решение для обмена файлами компаниям, которым нужно легко и быстро переслать большой файл или набор файлов.

    Страница не найдена – Information Security Squad

  • 🖴 Обзор лучших практик обеспечения безопасности баз данных 12.10.2021

    Введение Безопасность базы данных – это ряд мер, предпринимаемых для защиты системы управления базой данных от компрометации. Внедрение и регулярное выполнение определенных процедур помогает сохранить надежность базы данных. Отсутствие плана безопасности баз данных чревато серьезными последствиями: от потери данных до несанкционированного доступа или даже простоя системы. Однако некоторых катастроф можно избежать, если следовать хорошо известным […]

  • 🕵️ Обзор прокси-браузеров для обеспечения конфиденциальности в Интернете 11.10.2021

    С развитием онлайн-услуг мы ежедневно обмениваемся своими данными с несколькими онлайн-платформами. Следовательно, конфиденциальность в Интернете имеет решающее значение. Существует несколько способов повысить уровень конфиденциальности. Однако самым простым (или недорогим) и эффективным методом является использование прокси-браузера или расширения для браузера. В конце концов, мы взаимодействуем с веб-браузером практически во всем – будь то настольный компьютер или […]

  • 🐉 Объяснение репозиториев Kali Linux [с примерами] 11.10.2021

    В этой статье мы рассмотрим репозитории Kali Linux, но перед этим давайте разберемся, что такое репозитории вообще и что они означают. Что такое репозитории Linux? Если вы работали с каким-либо дистрибутивом Linux, вы наверняка сталкивались со словом “репозитории”, особенно при установке программного обеспечения или обновлении и модернизации системы. Репозитории в системах Linux означают удаленное место […]

  • 🐉 Установка пакетов deb на Kali Linux [4 метода] 11.10.2021

    Введение Существует два способа установки программного обеспечения в системе Kali Linux. Вы можете использовать метод терминала, где вы будете использовать менеджер пакетов apt или другие независимые от дистрибутива пакетные платформы, такие как Snap, AppImage и FlatPak. Другой способ – это загрузка установочного файла (обычно это файл .deb) и его установка в вашей системе. Установка Deb-файлов […]

  • 🖧 Поиск и устранение неисправностей сетевой задержки с помощью Wireshark 08.10.2021

    Любое действие, требующее использования сети, например, открытие веб-страницы, переход по ссылке или открытие приложения и игра в онлайн-игру, называется активностью. Действие пользователя – это запрос, а время ответа веб-приложения – это время, которое требуется для ответа на этот запрос. Эта временная задержка также включает время, которое требуется серверу для выполнения запроса. В результате, оно определяется […]

  • Номер порта TCP 21 и как он работает с FTP

    Протокол передачи файлов обеспечивает основу для передачи информации между двумя компьютерами в сети, во многом подобно протоколу передачи гипертекста через веб-браузер. Однако FTP работает с двумя разными портами протокола управления передачей: 20 и 21. Оба порта FTP 20 и 21 должны быть открыты в сети для успешной передачи файлов.

    FTP-порт 21 — порт управления по умолчанию

    После ввода правильного имени пользователя и пароля FTP с помощью программного обеспечения FTP-клиента программное обеспечение FTP-сервера по умолчанию открывает порт 21.Иногда это называется командой или управляющим портом по умолчанию. Затем клиент устанавливает другое соединение с сервером через порт 20 для передачи файлов.

    портфолио / Getty Images

    Администратор может изменить порт по умолчанию для отправки команд и файлов по FTP. Однако стандарт существует, так что клиентские / программные программы, маршрутизаторы и брандмауэры могут согласовывать одни и те же порты, что упрощает настройку.

    Как подключиться через FTP-порт 21

    В случае сбоя FTP правильные порты могут быть не открыты в сети.Эта блокировка может происходить как на стороне сервера, так и на стороне клиента. Любое программное обеспечение, которое блокирует порты, необходимо вручную изменить, чтобы открыть их, включая маршрутизаторы и брандмауэры, которые могут заблокировать порты, если операционная система этого не сделает.

    По умолчанию маршрутизаторы и брандмауэры могут не принимать соединения на порту 21. Поэтому, если FTP не работает, лучше всего проверить, правильно ли маршрутизатор пересылает запросы на этот порт и что брандмауэр не блокирует порт 21.

    Используйте Port Checker для сканирования вашей сети, чтобы увидеть, открыт ли у маршрутизатора порт 21.Функция, называемая пассивным режимом, помогает проверить, существуют ли препятствия для доступа к портам за маршрутизатором.

    В дополнение к обеспечению того, чтобы порт 21 был открыт с обеих сторон канала связи, порт 20 также должен быть разрешен в сети и через клиентское программное обеспечение. Игнорирование открытия обоих портов препятствует выполнению полной передачи туда-обратно.

    Когда он подключен к FTP-серверу, клиентское программное обеспечение запрашивает учетные данные для входа — имя пользователя и пароль — которые необходимы для доступа к этому серверу.Многие FTP-серверы, если вы входите в систему через telnet или соединение Secure Shell, предлагают анонимные учетные данные по умолчанию.

    Спасибо, что сообщили нам!

    Расскажите, почему!

    Другой Недостаточно подробностей Трудно понять

    портов пересылки для FIFA 21 на вашем маршрутизаторе.

    FIFA 21 — игра для спорта и моделирования, выпущенная Electronic Arts и выпущенная в 2020 .

    thumbnail

    Когда вы играете в FIFA 21, вы испытаете следующие стили игры.

    • Спортивные игры имитируют различные виды спорта, включая футбол, бейсбол, баскетбол, легкую атлетику и единоборства. Они, как правило, очень конкурентоспособны. Некоторые из них реалистично смоделированы по аналогам из реального мира, в то время как другие сатирические с более сильным акцентом на развлечения. Во многих спортивных играх представлены игроки из реального мира.
    • В игре-симуляторе основная цель — смоделировать реальную жизненную ситуацию для обучения или развлечения.Симуляторы имеют огромное количество типов, включая спорт, вождение, полеты и свидания. Одними из самых популярных симуляторов всех времен являются SimCity и Madden NFL.

    Переадресация порта FIFA 21

    Когда вы играете в FIFA 21, вам может потребоваться перенаправить некоторые порты в вашем маршрутизаторе. Перенаправление портов — это полезный трюк в играх, потому что он действительно может помочь сделать ваше сетевое соединение наиболее стабильным и часто даже более быстрым. Маршрутизаторы не предназначены для приема входящих сетевых запросов, и в некоторые игры можно играть намного лучше, если входящее соединение перенаправляется в игру через маршрутизатор.

    Перед переадресацией порта

    Прежде чем вы сможете перенаправить порт, вам необходимо знать следующее:

    • IP-адрес вашего роутера.
    • IP-адрес вашей игровой машины.
    • Список портов TCP и UDP, которые необходимо перенаправить.

    Как найти IP-адрес вашего маршрутизатора

    Самый простой способ определить IP-адрес вашего маршрутизатора — запустить нашу бесплатную утилиту Router Detector. Это часть набора инструментов Network Utilities, и ее можно использовать совершенно бесплатно.

    Как перенаправить порты

    Нет времени? Используйте наши сетевые утилиты. Это самый простой способ как открывать, так и закрывать порты вашего роутера. Вы можете сделать это вручную, если хотите.

    Обычно процесс переадресации порта:

    • Начните с входа в свой маршрутизатор.
    • Найдите раздел переадресации портов маршрутизатора.
    • Введите IP-адрес вашего компьютера или игровой консоли в соответствующее поле вашего роутера.
    • Поместите порты TCP и UDP для вашей игры в соответствующие поля на вашем маршрутизаторе.
    • Иногда вам необходимо перезагрузить маршрутизатор, чтобы изменения вступили в силу.

    Требуются порты для FIFA 21

    Необходимые порты для FIFA 21 следующие:

    ФИФА 21 — ПК

    • TCP: 3569,8080,9946,9988,10000-20000,42124
    • UDP: 3659,9000-9999

    ФИФА 21 — PlayStation 4

    • TCP: 1935,3478-3480,3659,10000-10099,42127
    • UDP: 3074,3478-3479,3659,6000

    FIFA 21 — Steam

    • TCP: 3569,8080,9946,9988,10000-20000,27015-27030,27036-27037,42124
    • UDP: 3659,4380,9000-9999,27000-27031,27036

    FIFA 21 — Xbox One

    • TCP: 3074,3659
    • UDP: 88,500,3074,3544,3659,4500

    FIFA 21 — Xbox серии X

    • TCP: 3074,3659
    • UDP: 88,500,3074,3544,3659,4500

    ФИФА 21 — PlayStation 5

    • TCP: 1935,3478-3480,3659,10000-10099,42127
    • UDP: 3074,3478-3479,3659,6000

    FIFA 21 — коммутатор

    • TCP: 6667,12400,28910,29900,29901,29920
    • UDP: 1-65535

    Если вы хотите следовать инструкциям, специально разработанным для вашего конкретного маршрутизатора и FIFA 21, просто перейдите по одной из этих ссылок:

    После этого все готово — ваши порты должны быть открыты.Подождите, это еще не все … Ознакомьтесь с нашим постоянно растущим списком игр и приложений.

    Защита опасных сетевых портов | CSO Online

    Пакеты данных перемещаются к пронумерованным сетевым портам и от них, связанным с определенными IP-адресами и конечными точками, с использованием протоколов транспортного уровня TCP или UDP. Все порты потенциально подвержены риску атаки. Ни один порт не является изначально безопасным.

    «Каждый порт и соответствующая услуга имеют свои риски. Риск исходит от версии службы, от того, правильно ли ее кто-то настроил, и, если есть пароли для службы, надежны ли они? Есть еще много факторов, которые определяют безопасность порта или сервиса », — объясняет Курт Мюль, ведущий консультант по безопасности RedTeam Security.Другие факторы включают в себя то, является ли порт просто тем, который злоумышленники выбрали для прохождения своих атак и вредоносных программ, и оставляете ли вы порт открытым.

    CSO исследует опасные сетевые порты на основе связанных приложений, уязвимостей и атак, предлагая подходы для защиты предприятия от злонамеренных хакеров, которые злоупотребляют этими открытиями.

    Чем опасны эти порты?

    Всего имеется 65 535 портов TCP и еще 65 535 портов UDP; мы рассмотрим некоторые из самых сложных.TCP-порт 21 соединяет FTP-серверы с Интернетом. FTP-серверы несут множество уязвимостей, таких как возможности анонимной аутентификации, обход каталогов и межсайтовый скриптинг, что делает порт 21 идеальной целью.

    В то время как некоторые уязвимые службы продолжают работать, унаследованные службы, такие как Telnet на TCP-порту 23, с самого начала были принципиально небезопасными. Хотя его полоса пропускания мала и составляет несколько байтов за раз, Telnet отправляет данные, полностью разоблаченные в виде открытого текста. «Злоумышленники могут прослушивать, отслеживать учетные данные, вводить команды с помощью атак [человек посередине] и, в конечном итоге, выполнять удаленное выполнение кода (RCE)», — говорит Остин Норби, ученый-компьютерщик из U.S. Министерство обороны (комментарии являются его собственными и не отражают точку зрения какого-либо работодателя).

    В то время как некоторые сетевые порты представляют собой хорошие точки входа для злоумышленников, другие представляют собой хорошие пути отхода. TCP / UDP-порт 53 для DNS предлагает стратегию выхода. Как только хакеры-преступники в сети получают свой приз, все, что им нужно сделать, чтобы получить его, — это использовать легкодоступное программное обеспечение, которое превращает данные в трафик DNS. «DNS редко отслеживается и еще реже фильтруется», — говорит Норби. После того, как злоумышленники безопасно доставят данные за пределы предприятия, они просто отправят их через свой DNS-сервер, который они специально разработали, чтобы преобразовать их обратно в исходную форму.

    Чем чаще используется порт, тем проще скрывать атаки со всеми другими пакетами. TCP-порт 80 для HTTP поддерживает веб-трафик, получаемый веб-браузерами. По словам Норби, атаки на веб-клиентов, которые проходят через порт 80, включают инъекции SQL, подделку межсайтовых запросов, межсайтовые сценарии и переполнение буфера.

    Киберпреступники настроят свои службы на отдельных портах. Злоумышленники используют TCP-порт 1080, который в отрасли назначен для защищенных сокетов прокси-серверов SOCKS, для поддержки вредоносного программного обеспечения и действий.Троянские кони и черви, такие как Mydoom и Bugbear, исторически использовали порт 1080 для атак. «Если сетевой администратор не настроил прокси-сервер SOCKS, его существование может указывать на злонамеренную активность», — говорит Норби.

    Когда хакеры становятся вялыми, они используют номера портов, которые они могут легко запомнить, например последовательности чисел, например, 234 или 6789, или один и тот же номер неоднократно, например 666 или 8888. Некоторые бэкдоры и троянские программы открываются и используют TCP-порт 4444. для прослушивания, связи, пересылки вредоносного трафика извне и отправки вредоносных полезных данных.Некоторые вредоносные программы, использовавшие этот порт, включают Prosiak, Swift Remote и CrackDown.

    Веб-трафик не использует только порт 80. HTTP-трафик также использует TCP-порты 8080, 8088 и 8888. Серверы, подключенные к этим портам, в основном представляют собой устаревшие устройства, которые остались неуправляемыми и незащищенными, со временем накапливая все больше уязвимостей. «Серверы на этих портах также могут быть HTTP-прокси, которые, если администраторы сети не установят их, могут представлять угрозу безопасности в системе», — говорит Норби.

    Предположительно элитные злоумышленники использовали порты TCP и UDP 31337 для знаменитого бэкдора Back Orifice и некоторых других вредоносных программ. На TCP-порте они включают Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night и BO client, чтобы назвать несколько; примеры на порте UDP включают Deep BO. В «leetspeak», в котором используются буквы и цифры, 31 337 заклинаний означает «eleet», что означает «элита».

    Слабые пароли могут сделать SSH и порт 22 легкими целями. По словам Дэвида Видена, системного инженера BoxBoat Technologies, порт 22, назначенный порт Secure Shell, который обеспечивает доступ к удаленным оболочкам на физическом серверном оборудовании, уязвим, если учетные данные включают стандартные или легко угадываемые имена пользователей и пароли.Короткие пароли длиной менее восьми символов, состоящие из знакомой фразы и последовательности цифр, слишком легко угадать злоумышленникам.

    Криминальные хакеры по-прежнему атакуют IRC, который работает на портах с 6660 по 6669. «Было много уязвимостей IRC, таких как Unreal IRCD, которые позволяют злоумышленникам выполнять тривиальное удаленное выполнение», — говорит Виден.

    Некоторые порты и протоколы могут дать злоумышленникам большой радиус действия. Например, порт UDP 161 привлекает злоумышленников, поскольку протокол SNMP, который используется для управления сетевыми машинами и опроса информации, отправляет трафик через этот порт.«SNMP позволяет запрашивать у сервера имена пользователей, общие сетевые ресурсы и другую информацию. SNMP часто поставляется со строками по умолчанию, которые действуют как пароли », — объясняет Мюль.

    Защита портов, сервисов и уязвимостей

    Предприятие может защитить SSH с помощью аутентификации с открытым ключом SSH, отключения входа в систему от имени пользователя root и переноса SSH на порт с более высоким номером, чтобы злоумышленники не могли легко его найти, говорит Уайден. «Если пользователь подключается к SSH через порт с большим числом портов, например 25 000, злоумышленникам будет сложнее обнаружить поверхность атаки для службы SSH», — говорит Виден.

    Если на вашем предприятии используется IRC, держите его за брандмауэром. «Не разрешайте какой-либо трафик в службу IRC, исходящий из-за пределов сети. Попросите пользователей подключиться к сети через VPN, чтобы использовать IRC », — говорит Виден.

    Повторяющиеся номера портов и особенно длинные последовательности чисел редко представляют собой законное использование портов. «Когда вы видите, что эти порты используются, убедитесь, что они подлинные», — говорит Норби. Отслеживайте и фильтруйте DNS, чтобы избежать кражи. И прекратите использовать Telnet и закройте порт 23.

    Безопасность на всех сетевых портах должна включать глубокую защиту.По словам Норби, закройте все неиспользуемые порты, используйте брандмауэры на основе хоста на каждом хосте, запустите сетевой брандмауэр нового поколения, а также отслеживайте и фильтруйте трафик порта. Регулярно выполняйте сканирование портов в рамках тестов на проникновение, чтобы убедиться в отсутствии непроверенных уязвимостей ни на одном из портов. Обратите особое внимание на прокси-серверы SOCKS или любой другой сервис, который вы не настраивали. Исправляйте и укрепляйте любое устройство, программное обеспечение или службу, подключенные к порту, до тех пор, пока на броне ваших сетевых ресурсов не останется вмятин. Будьте активны, поскольку в старом и новом программном обеспечении появляются новые уязвимости, к которым злоумышленники могут добраться через сетевые порты.

    Используйте последнюю версию любой поддерживаемой вами службы, настройте ее соответствующим образом и используйте надежные пароли; «Списки контроля доступа могут помочь вам ограничить круг лиц, которые могут подключаться к портам и службам», — говорит Мул. «Часто проверяйте свои порты и сервисы. Когда у вас есть такие сервисы, как HTTP и HTTPS, которые можно много настраивать, легко неправильно настроить сервис и случайно ввести уязвимость », — объясняет Мул; «И измените эти строки SNMP по умолчанию».

    Безопасная гавань для рискованных портов

    Эксперты публикуют различные списки портов, которые несут значительный риск, на основе различных критериев, таких как тип или серьезность угроз, связанных с каждым портом, или степень уязвимости служб на данных портах.Ни один список не является всеобъемлющим. Для дальнейшего изучения вы можете начать со списков на SANS.org, в Интернете SpeedGuide и GaryKessler.net.

    Для вас не рискованно оставлять комментарии в Facebook, переходите на нашу страницу.

    Copyright © 2017 IDG Communications, Inc.

    Как защитить опасные открытые порты?

    Одна из причин, по которой лидеры бизнеса не могут понять риски кибербезопасности, заключается в том, что техническая терминология часто выходит за пределы их рулевой рубки.Руководители организаций понимают влияние утечки данных, но, читая о том, как киберпреступники проникают в сети, может показаться, что они слушают другой язык. Например, распределенная атака типа «отказ в обслуживании» (DDoS) — это когда киберпреступники используют ботнеты для отправки в сеть такого объема информации, что она дает сбой, что приводит к простою и потенциальному проникновению. Однако, чтобы снизить риск этих атак, вам необходимо понимать, что такое порты, почему киберпреступники их используют и как защитить опасные открытые порты.

    Что такое сетевые порты?

    Физические порты — это области на устройстве, которые подключают его к другому оборудованию. Например, USB-C, разъем для наушников и разъем HDMI — все это физические порты, которые позволяют различным устройствам «общаться» друг с другом в электронном виде.

    Сетевые порты позволяют устройствам удаленно общаться друг с другом через Интернет, управляя потоком информации на компьютер из Интернета или другой программы. Другими словами, сетевые порты в основном похожи на шлюзы, которые позволяют информации течь в сеть.Используя протокол транспортного уровня, такой как протокол управления передачей (TCP) и протокол пользовательских диаграмм (UDP), устройства могут обмениваться данными через Интернет.

    Хотя это звучит чрезвычайно технически, у вас, вероятно, уже есть некоторый опыт работы с ними. Например, если вы когда-либо настраивали домашний маршрутизатор, вы, вероятно, встречали термин TCP / IP или протокол динамической конфигурации хоста (DHCP), который позволяет устройству взаимодействовать с Интернетом.

    Краткий ответ? Хотя термин «сетевые порты» может звучать технически устрашающе, в основном они действуют как шлюз для устройств, программ и сетей, чтобы обмениваться информацией и общаться друг с другом.

    Почему сетевые порты опасны?

    Открытые сетевые порты позволяют организациям применять облачные стратегии. Устройства должны взаимодействовать с системами, программным обеспечением и сетями в рамках цифровой трансформации. Однако каждый порт технически представляет собой небольшой шлюз в ИТ-стек организации.

    Хороший способ подумать о том, что порты опасны или безопасны, — это подумать о заборе вокруг дома. У каждого забора есть калитка. Эти ворота могут быть заперты или открыты. Если вы оставите ворота открытыми, любой может войти в ваш двор, и ваш дом окажется под угрозой.Если вы заперете ворота, только нужные люди могут войти в ваш двор, лучше охраняя ваш дом.

    Сетевые порты работают аналогично. Хотя каждый IP-адрес может иметь до 65 353 различных портов, большинство из них названы по номерам и известны киберпреступникам. Например, ниже приведен список известных портов и служб, которые они включают:

    • Порт 80 для веб-трафика (HTTP)
    • Порты 20, 21 для протокола передачи файлов (FTP)
    • Порт 25 для простого протокола передачи почты (SMTP)
    • Порт 53 для системы доменных имен (DNS)
    • Порт 110 для протокола почтового отделения (POP3)

    Если вы когда-либо пересылали почту с одного адреса электронной почты на другой или настраивали адрес электронной почты в почтовом приложении, вы, вероятно, уже видели SMTP или POP3.Через эти порты электронная почта попадает на устройство.

    Поскольку эти порты являются общедоступными, как ворота ограждения вокруг дома, киберпреступники часто стремятся использовать их для проникновения в сети. Подобно тому, как грабитель пытается открыть незапертые ворота, киберпреступники стремятся использовать открытые порты. Как только они узнают, какие порты открыты, они отправляют им поток информации, используя ботнет или большое количество компьютеров-жертв, подключенных к Интернету, подобно попытке протолкнуть 100 человек через ворота.Этот трафик перегружает сеть и означает, что она больше не может поддерживать бизнес-операции.

    Как защитить опасные порты?

    Точно так же, как понимание того, что делает порт рискованным, может показаться слишком техническим, так же как и их защита. Однако аналогично существуют меры безопасности, которые имеют смысл, если их кто-то объяснит.

    Определить открытые порты

    Вы не можете защитить то, что, как вы не знаете, требует защиты. Первым шагом к защите опасных портов является сканирование вашего ИТ-стека, включая приложения и любые подключенные к сети устройства, чтобы узнать, какие порты открыты и подходят ли конфигурации.

    Общие сведения об использовании порта

    Большинству организаций не нужно открывать все порты на каждом IP-адресе. Многие инструменты сканирования, используемые для обнаружения открытых портов, также предоставляют информацию о том, используются ли открытые порты.

    Знайте, какие службы используют порты

    Различные службы будут подключаться к разным портам вашей сети. В рамках понимания использования порта вы хотите узнать, какие процессы или протоколы используют порт. Если ваш системный администратор обнаружит процесс или протокол, который не распознает, это может указывать на уязвимость системы безопасности.

    Закройте самые опасные порты

    Как в разделе часто задаваемых вопросов по обнаружению вторжений SANS, так и в Internet Assigned Number Authority (IANA) содержится информация о том, какие службы используют, какие порты и какие порты нацелены киберпреступниками. Обладая этой информацией, вы можете лучше защитить опасные порты, оставив при этом работоспособными те, которые необходимы для бизнес-операций.

    SecurityScorecard позволяет организациям защищать опасные открытые порты

    Платформа

    SecurityScorecard для оценки безопасности дает вам внешний вид вашей ИТ-экосистемы, включая безопасность вашей сети.Наши аналитики искусственного интеллекта (AI) и машинного обучения (ML) сканируют вашу сеть на предмет открытых точек доступа, небезопасных или неправильно настроенных сертификатов SSL или уязвимостей базы данных, которые могут привести к DDoS-атаке.

    Наши легко читаемые рейтинги безопасности A-F создают общий язык, позволяющий ИТ-руководителям и бизнес-лидерам более целенаправленно понимать, обсуждать и снижать риски кибербезопасности в сложных взаимосвязанных ИТ-экосистемах.

    GRC | Администрация порта, для Интернет-порта 21

    Важное слово о безопасности и конфиденциальности FTP

    Было сказано, что любой «открытый FTP-сервер» будет найден и быстро изучен интернет-хакерами в течение очень короткого времени после его появления в Интернете.Хакерам нравятся открытые FTP-серверы, которые анонимно принимают файлы, которые затем становятся доступными для других без какого-либо контроля со стороны администрации FTP-сервера. Такие «ящики для файлов» быстро загружаются незаконным программным обеспечением и другими потенциально опасными файлами и используются в качестве точек анонимного обмена файлами. Такое автоматическое использование может не только стать огромным потребителем пропускной способности вашей сети, но вы можете обнаружить, что объясняете свой очевидный «хостинг» незаконных, защищенных авторским правом или иным образом неприятных файлов властям.

    Если вам необходимо запустить FTP-сервер для анонимного приема файлов, обязательно создайте отдельный «входящий» каталог для приема отправленных файлов. Убедитесь, что содержимое этого входящего каталога недоступно для исходящей загрузки без явного перемещения файла в исходящий каталог.

    Если наш анализ показал, что ваш порт службы FTP открыт, вы обязательно захотите предпринять какие-то действия (если это не то, что вы намереваетесь).Как видно из списка известных троянских программ для FTP-портов в конце этой страницы, некоторые вредоносные программы могут быть ответственны за тайное открытие этого порта в вашей системе. Или, если вы намеренно используете FTP-сервер, вам нужно быть уверенным, что вы готовы принять на себя ответственность за управление, связанную с предложением такого общедоступного сервера в Интернете. Это не для всех.

    О протоколе FTP

    Протокол FTP использует два параллельных соединения — одно для управления и контроля, а второй канал для передачи данных.Если не указан другой порт, FTP-серверы ожидают подключения клиентов к их порту 21. Использование нестандартных портов FTP-сервера более распространено, чем для других протоколов, из-за исторических проблем с злоумышленниками, ищущими FTP-серверы на порту 21. Вы можете услышать, как опытный компьютерный пользователь говорит: «У меня FTP-сервер работает на 60-м порту» (или что-то еще). Это может быть сделано, чтобы избежать конфликта порта с другим FTP-сервером, уже работающим на порту по умолчанию. Но более вероятно, что это делается для того, чтобы настоящий FTP-сервер находился подальше от узконаправленного и часто ищущего порта.

    После инициации соединения клиент указывает серверу, желает ли он установить «активный» или «пассивный» сеанс FTP. Это определяет направление вторичного соединения «FTP-данные»:

    Активный FTP

    Активный FTP — это традиционный протокол по умолчанию, который обычно используется полными клиентскими программами FTP. Активный FTP использует «обратный канал данных», который может вызвать проблемы при работе за некоторыми старыми межсетевыми экранами и маршрутизаторами NAT, хотя современные продукты, как правило, «поддерживают FTP».Для сравнения, пассивный FTP (см. Следующий раздел) в основном используется веб-браузерами и может быть более дружественным к межсетевому экрану и маршрутизатору NAT.

    Как мы видели выше, сеансы FTP инициируются подключением FTP-клиента к порту 21 любого FTP-сервера. Это устанавливает «прямой» канал управления и контроля. Затем активный FTP-клиент открывает порт прослушивания на своем компьютере, сообщает удаленному FTP-серверу об этом номере порта и запрашивает удаленный FTP-сервер для подключения со своего порта 20 обратно к клиенту на указанном им порте.Это устанавливает «обратный канал данных» для передачи данных.

    Поскольку многие брандмауэры и NAT-маршрутизаторы автоматически блокируют входящие подключения к своим защищенным клиентским машинам, необходимость создания этого второго «обратного канала данных» может вызвать проблемы. Хотя пассивный FTP был создан для преодоления этих проблем, большинство современных межсетевых экранов и маршрутизаторов NAT стали «знать FTP». Они контролируют исходящий канал управления, интерпретируют запрос клиента к удаленному серверу и открывают входящий порт обратно через маршрутизатор на клиентский компьютер.Таким образом, активные клиенты FTP могут без проблем работать за межсетевыми экранами, поддерживающими FTP, и маршрутизаторами NAT.

    Passive FTP

    Passive FTP протокол был создан для преодоления проблем межсетевого экрана и маршрутизатора, связанных с необходимостью активного FTP устанавливать обратный канал данных от сервера к клиенту. Пассивный FTP работает так же, как активный FTP, за исключением того, что и начальный канал управления (к порту сервера по умолчанию 21), и канал данных (к порту сервера по умолчанию 20) инициируются клиентом и принимаются и принимаются сервером.Пассивный FTP обычно используется веб-браузерами и иногда может быть запрошен как дополнительный режим у полноценных FTP-клиентов. Поскольку пассивный FTP не использует подход «обратного канала данных», он часто более удобен для межсетевых экранов и маршрутизаторов NAT, хотя большинство современных маршрутизаторов NAT теперь «поддерживают FTP».

    FTP RFC (полная спецификация)

    Спецификацию всех нюансов и деталей протокола FTP, написанную людьми, которые его изобрели, можно найти здесь:

    http: // www.ietf.org/rfc/rfc959.txt

    http://www.faqs.org/rfcs/rfc959.html

    Trojan Sightings: Back Construction, Blade Runner, FTP-сервер Cattivik, CC Invader, Dark FTP, Doly Trojan, Fore, FreddyK, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, RTB 666, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash

    Авторские права на все содержимое этой страницы принадлежат компании Gibson Research Corporation © 2008.

    Как настроить переадресацию портов на Deco?

    Данная статья применима к:

    Deco M1300 (3 упаковки), Deco W3600, Deco X68 (2 упаковки), Deco E3 (3 упаковки), Deco X20, Deco M1300, Deco X68, Deco HC4, Deco X25, Deco E4 (1 упаковка) , Deco X3600 (2 упаковки), Deco M5 (1 упаковка), Deco X5700, Deco M9 Plus (1 упаковка), Deco S4 (3 упаковки), Deco M4 (3 упаковки), Deco X60 (3 упаковки). в упаковке), Deco W6000, Deco M5, Deco M4, Deco X3600, Deco HX20, Deco M3, Deco X20 (3-упаковка), Deco M5 Plus (3-упаковка), DecoX5700, Deco X50-4G, Deco S7 (3- упаковка), Deco X3600 (3 упаковки), Deco E3 (2 упаковки), Deco W2400 (2 упаковки), Deco M5 (3 упаковки), Deco M4 (2 упаковки), Deco S4 (2 упаковки) , Deco AC1200 (2 упаковки), Deco M1300 (1 упаковка), Deco Voice X20, Deco P9, Deco X68 (1 упаковка), Deco P7, Deco X60 (2 упаковки), Deco X60 (1 упаковка) , Deco X20-DSL, Deco X68 (1 упаковка), Deco E4 (3 упаковки), Deco 5G, Deco M5 Plus, Deco P7 (2 упаковки), Deco X20-4G, Deco S4 (1 упаковка), Deco S7, Deco X76 Plus, Deco S4, Deco M4 (1 упаковка), Deco X20 (2 упаковки), Deco X90, Deco M3 (3 упаковки), Deco W2400, Deco X96, Deco E4 (2 упаковки), Deco X55, Deco E4, Deco E3, Deco W6000 ( 2 упаковки), Deco X20 (1 упаковка), Deco X68 (3 упаковки), Deco M9 Plus (2 упаковки), Deco X80-5G, Deco M5 (2 упаковки), Deco M9 Plus, Deco X5700 ( 2 упаковки), Deco M3 (2 упаковки), Deco AC1200, Deco P9 (3 упаковки), DecoX5700 (2 упаковки), Deco M3W, Deco X60

    Port Forwarding позволяет сделать устройство или услугу в вашей домашней сети доступными для других устройств через Интернет, при этом обеспечивая защиту вашей сети.

    Различные службы используют разные порты служб, например порт 80 для службы HTTP, порт 21 для службы FTP, порт 25 для службы SMTP и порт 110 для службы POP3. Перед настройкой проверьте номер порта службы.

    Примечание. В настоящее время некоторые модели Deco поддерживают только 16 записей переадресации портов. Но не волнуйтесь, в будущих выпусках прошивки он будет увеличен до 64.

    В качестве примера мы возьмем Deco M9 Plus.

    Шаг 1. Запустите приложение Deco, нажмите Еще в правом нижнем углу, затем нажмите Advanced .

    Шаг 2. Выберите Перенаправление портов .

    Шаг 3. Нажмите значок Создать или Добавить в правом верхнем углу.

    Шаг 4. Выберите тип службы , введите имя службы и нажмите Внутренний IP-адрес , чтобы выбрать устройство, для которого вы хотите открыть порты, затем введите его внешний порт и внутренний порт ( Сервисный порт). Нажмите Готово .

    Если оставить поле Internal Port пустым, внутренние порты будут такими же, как и внешние.

    Например, настройте внешний порт как 4500-5000, затем оставьте поле Internal Port пустым, нажмите Готово . В этом случае внутренние порты 4500-5000 откроются автоматически.

    Примечание. Deco не поддерживает функцию ручного ввода внутреннего IP-адреса. В обычном случае, если устройство подключается к Deco и получает IP-адрес, Deco покажет устройство при настройке функции переадресации портов без необходимости вводить IP-адрес вручную.

    Шаг 5. Вернитесь на страницу Advanced , коснитесь IPv4 и проверьте IP-адрес WAN системы Deco. Теперь вы можете попробовать использовать WAN IP: номер порта (внешний порт) для доступа к услуге из внешней сети.

    Примечание:

    Если IP-адрес WAN Deco является не общедоступным IP-адресом, а частным IP-адресом, это означает, что к порту WAN основного Deco подключено другое устройство NAT.Вам также необходимо открыть сервисные порты на этом устройстве.

    Чтобы узнать, является ли IP-адрес общедоступным или частным, перейдите по этой ссылке:

    http://en.wikipedia.org/wiki/Private_network

    Шаг 6. Если вы хотите удалить записи переадресации портов, перейдите на страницу More -> Advanced -> Port Forwarding page,

    Для iOS щелкните запись, которую хотите удалить, затем нажмите кнопку Удалить .

    Для Android найдите запись, которую хотите удалить, щелкните значок с тремя точками, нажмите его и щелкните Удалить .

    Что это такое и какой номер порта использовать

    Содержание

    Настройка

    FTP — это простой процесс, который имеет свои особенности. Если вы попытаетесь разобраться с самого начала, то работа с FTP-сервером через какое-то время станет для вас одним удовольствием.Через такие серверы вы можете загружать музыку, фильмы, изображения и другие файлы, а также управлять сайтом с хостом, работающим по протоколу передачи данных. Но для этого нужно хорошо разобраться, и в частности, нужно понимать, что такое FTP-порт, для чего он нужен и как настроить номер FTP-порта. Об этом и пойдет речь в статье. Вы узнаете, какой порт является стандартным для FTP, как изменить настройки портов по умолчанию и разблокировать его в брандмауэре и маршрутизаторе.

    Что такое порт FTP и зачем он нужен?

    Если во всем разобраться, то все предельно просто. Операционная система компьютера имеет ограниченное количество портов. Они нужны для того, чтобы программы могли подключаться к ним по сети. Это сделано для того, чтобы приложения не конфликтовали друг с другом при попытке подключения к сети. Порт — это просто цифра транспортного протокола. Его можно сравнить с трассой. Если все программы будут работать на одной «дорожке», то на ней быстро образуется пробка.Следовательно, для каждого приложения должен быть выделен уникальный порт, то есть номер, который еще не занят другими программами.

    Разработчики операционных систем давно используют этот метод распределения программ по пронумерованным протоколам, и он хорошо себя зарекомендовал. Ведь портов больше шести тысяч, чего хватит на любой компьютер. FTP — это протокол передачи данных, необходимый клиенту и серверу для быстрого обмена различными файлами. Такой протокол удобен для тех, кто не заботится о веб-интерфейсе магазина, но ценит скорость загрузки и количество файлов, которые могут храниться на сервере.

    Нет лучшего способа обмена объемными данными, чем через протокол FTP. И этот протокол работает через канал TCP. И чтобы подключиться к этому каналу, вам нужен определенный порт. То есть, чтобы открыть сервер, клиент должен зайти на порт FTP-сервера, а через него перейти на хост. В этом вся суть порта для FTP.


    Что такое активный и пассивный режим? Как они связаны с портами

    Дело в том, что есть два варианта развития сценария взаимодействия клиент-сервер.В зависимости от способа установления соединения для передачи данных различают активный и пассивный режимы работы FTP. В активном режиме сервер сам устанавливает соединение для передачи данных с клиентом, в пассивном — наоборот. Рассмотрим эти режимы более подробно.

    Дело в том, что в протоколе FTP есть два типа подключения:

    • Управляющее соединение.
    • Соединение для передачи данных.

    Активность и пассивность клиента проявляются только во втором типе подключения.Тогда как первое необходимо, чтобы сервер и клиент могли общаться друг с другом. Это значит, что сервер получает команды от клиента, потому что это соединение называется управляющим. Такое соединение работает через стандартный порт FTP, установленный по умолчанию, или другими словами порт FTP по умолчанию.

    Основное различие между активным и пассивным режимами протокола FTP заключается в том, какой из пакетов клиент-сервер устанавливает соединение для передачи данных, то есть, грубо говоря, кто к кому подключен.Порты, на которые передаются данные, также различаются. В активном режиме работы клиент устанавливает контрольное соединение с сервером, но сервер сам устанавливает соединение для передачи данных. В пассивном режиме работы соединение для передачи данных, а также контрольное соединение с сервером инициируется только клиентом. То есть в активном режиме сервер подключается к клиенту для передачи данных, а в пассивном режиме клиент подключается к серверу.


    Как установить активный режим FTP

    Как в активном, так и в пассивном режиме соединение начинается с отправки запроса клиентом на сервер.Сначала устанавливается управляющее соединение. Для этого на клиенте создается временный порт с номером в диапазоне от 1024 до 65535 для установления управляющего соединения, а также порт для передачи данных. В активном режиме все происходит в следующем порядке:

    1. Клиент отправляет запрос на порт сервера номер 21 (порт по умолчанию для FTP) с временного порта в диапазоне 1024–65535.
    2. Сервер отвечает на временный порт клиента.
    3. Клиент подтверждает подключение.
    4. Клиент отправляет команду FTP PORT, в которой говорится об использовании активного режима FTP, его IP-адресе, а также номере порта для установления соединения для передачи данных, к которому будет подключаться сервер.
    5. Команда подтверждена сервером.
    6. Клиент указывает серверу работать с FTP.
    7. Сервер создает соединение для передачи данных. Для этого он отправляет запрос с порта 20 на порт, указанный клиентом в четвертом абзаце.
    8. Клиент отвечает на запрос.
    9. Сервер подтверждает соединение и позволяет клиенту передавать данные.

    Как установить пассивный режим FTP

    В пассивном режиме процедура установления соединения для передачи данных немного отличается. Действия происходят следующим образом:

    1. Клиент отправляет запрос на порт сервера номер 21 (порт по умолчанию FTP) с временного порта в диапазоне 1024–65535.
    2. Сервер отвечает на временный порт клиента.
    3. Клиент подтверждает подключение.
    4. Клиент отправляет команду PASV, в которой говорится об использовании пассивного режима FTP.
    5. Сервер подтверждает работу в пассивном режиме, отправляет свой IP-адрес, а также номер порта для установления соединения для передачи данных, к которому будет подключаться клиент.
    6. Из порта для передачи данных клиент отправляет запрос на установление соединения с портом, выданным сервером.
    7. Сервер подтверждает соединение.
    8. Клиент устанавливает соединение.
    9. Клиент дает команду серверу (с порта управления на порт 21 FTP), после чего данные могут быть переданы.

    Решение проблем с межсетевым экраном

    В активном режиме основная проблема возникает с клиентом. Если брандмауэр настроен на отбрасывание входящих соединений, не инициированных внутренне, сервер не сможет установить соединение для передачи данных. А поскольку порт данных FTP является динамическим, возникают некоторые трудности с настройкой межсетевого экрана. Правильнее всего будет указать в клиенте диапазон используемых портов и создать для них допустимое правило Firewall.

    В пассивном режиме сервер может столкнуться с такой проблемой. Решение аналогично: мы указываем диапазон пассивных FTP-портов, используемых в настройках сервера, и создаем для него разрешающее правило.


    Почему FTP имеет 2 номера порта? Обязательно ли использовать 21 порт?

    Люди, которые постоянно имеют дело с серверами и создают их, слышали о числе 21. Для них это важно, так как многие серверы и протоколы, не только FTP, используют 21 порт. Тем не мение, по умолчанию FTP использует два указанных порта, а именно 20 и 21.Порт 21 в основном используется для управления, а порт 20 — для передачи данных. Это приводит к тому, что наибольшее значение имеет порт 21, который необходим вам для открытия сервера и отправки на него команд, а порт 20 нужен в основном для активного режима.

    21 — порт используется для управления передачей данных. Клиент устанавливает (активно) управляющее соединение с портом сервера 21 (он открывает соединение пассивно) для отправки команд FTP на сервер и получения ответов FTP от него. Управляющее соединение существует все время, пока клиент обменивается данными с сервером.21 порт — это порт сервера.

    Фактически, на 20-м порту (сервере) данные передаются под «наблюдением» управляющего соединения на 21-м порту (сервер). Эти 20 портов необходимы для соединения, которое существует только при передаче данных. Это отличает указанное соединение от порта 21, который существует все время, когда клиент работает с сервером. 20 порт — это порт сервера.

    Вернемся к порту 21 и повсеместности его использования. Если начать анализировать ситуацию, то не блестит.Ведь протокол передачи данных совершенно не защищен от перехвата. В любой момент опытные хакеры могут атаковать ваш сервер и перехватить пароль и логин клиента. Затем они проникнут на сервер и украдут оттуда важные данные или скроют вредоносные программы и вирусы в каталогах.

    Для того, чтобы хоть как-то повысить уровень безопасности использования протокола FTP, рекомендуется в настройках изменить стандартный порт FTP, он нужен для подключения.Сделать это несложно, но на каждом сервере эта опция настроена по-своему. Единственный нюанс — при подключении клиенту нужно будет указать новый номер порта данных FTP вместо номера 21. В этом суть защиты — хакеры не будут знать порт, на котором нужно перехватывать данные, поэтому они не будут смог украсть это.


    Каковы общие уязвимости FTP

    Самым существенным недостатком протокола является передача всей информации, а также логинов и паролей в открытом виде.Это делает невозможным использование этого протокола для передачи конфиденциальной информации без использования стороннего программного и аппаратного обеспечения. Если злоумышленник имеет доступ к каналу связи, по которому передаются эти данные, необходимо использовать шифрование или защищенный номер порта FTP. Это типичный случай пассивного воздействия атаки — состояние сервера не меняется, политика безопасности не нарушается, но доступ к необходимой информации есть.

    Протокол не определяет действия, противодействующие выбору паролей.После неверного пароля клиенту предоставляется возможность повторно ввести его, но соединение не разрывается. Также нет ограничений по количеству повторений. В результате атака, направленная на угадывание паролей, может длиться сколь угодно долго, а отсутствие задержек в ответах сервера повышает эффективность.

    Следующие уязвимости связаны с пассивным режимом протокола и возможностью участия в подключении третьего узла.При использовании пассивного режима передачи данных, в котором сервер сообщает клиенту, к какому порту FTP-сервера следует подключиться, чтобы начать передачу, можно установить соединение с другого компьютера.

    Если реальный клиент уже выбрал необходимый для скачивания файл и имеет необходимый доступ, то от его имени возможна кража. Злоумышленник, зная особенности выбора FTP-сервером номеров портов FTP для организации пассивного режима, увеличивает вероятность успеха атаки.Для этого необходимо попытаться установить соединения с портами, и если все будет удачно, файл будет украден. Таким же образом вы можете записать файл на сервер от имени зарегистрированного пользователя, установив соединение с портом FTP-сервера, ожидая запуска файла.


    Противодействие уязвимости FTP

    Уязвимость протокола возникает в основном из-за его особенностей и отсутствия способов защиты передаваемой информации. Для повышения безопасности необходимо использовать сторонние инструменты, а также тщательно продумывать взаимодействие сетевых узлов по протоколу FTP.Проблема передачи всей информации в открытом виде решается либо с помощью средств шифрования, где это возможно, либо путем защиты каналов связи от несанкционированного доступа. Например, приложение Commander One является популярной альтернативой FTP-клиенту Cyberduck с поддержкой FTP / SFTP-соединений и облачных хранилищ.


    С помощью этого приложения вы больше не будете беспокоиться о том, защищен ли FTP-порт или нет, а просто передадите функцию шифрования приложения, поскольку оно использует AES с длиной ключа 256 бит.Кроме того, приложение поддерживает широкий спектр дополнительных функций, необходимых при работе с файлами. Попробуйте это приложение, чтобы воспользоваться его функциональностью. Остальные проблемы можно решить с помощью фильтрации.

    Для защиты паролей от взлома необходимо настроить FTP-сервер так, чтобы соединения закрывались после нескольких попыток ввода пароля. Также необходимо обеспечить паузу перед ответом на каждый неверный пароль, что значительно замедлит их перечисление.

    Для предотвращения кражи файлов в пассивном режиме требуется фильтрация по IP-адресу.При использовании этой фильтрации становится невозможным обмен между двумя серверами, инициированный клиентом, поскольку сервер, который переключен в активный режим, будет иметь адрес, отличный от адреса клиента, и пакеты с него будут фильтроваться. С точки зрения современной безопасности правильным решением является использование одной из зашифрованных реализаций FTP (FTPS, SFTP) или использование FTP через VPN.


    Порт SFTP. Отличие от FTP порта

    SFTP — это стандарт передачи информации в Интернете, который предназначен для перемещения и копирования файлов с использованием соединения повышенной надежности и безопасности SSH (Secure Shell).Этот тип соединения может обеспечить доступ и безопасную передачу, которая шифруется как логином, так и паролем, а также с содержимым передачи, тем самым защищая пароли и конфиденциальную информацию от открытой передачи по сети. В отличие от FTP, протокол SFTP, несмотря на его аналогичные функции, использует другой протокол передачи данных, и поэтому стандартные клиенты не могут связываться с серверами SFTP.

    Хотя TCP-порт 22 является в целом правильным ответом и считается номером порта SFTP по умолчанию, это зависит от того, как SSH настроен для использования стандартного порта SFTP, а не альтернативного порта.

    Поскольку SFTP действует как подсистема SSH, он работает на любом порту, который прослушивает демон SSH и настроен администратором. SFTP обычно использует SFTP-порт номер 22, но его можно настроить для работы практически с любым портом. SFTP — это лишь один из протоколов, который можно запустить через SSH (другие включают виртуальный терминал). Фактически, SFTP независим и может работать даже без использования SSH.


    Ключевые различия между FTP и SFTP

    • FTP не обеспечивает безопасный канал для передачи файлов между хостами, в то время как SFTP обеспечивает безопасный канал для передачи файлов между хостами в сети.
    • FTP — это сокращение от File Transfer Protocol, а SFTP — от Secure File Transfer Protocol.
    • FTP — это служба, предоставляемая TCP / IP. Однако SFTP является частью протокола SSH, который представляет информацию для удаленного входа в систему.
    • FTP устанавливает соединение, используя контрольное соединение на TCP-порту 21. С другой стороны, SFTP передает файл по защищенному соединению, установленному через SSH между клиентом и сервером.
    • FTP передает пароль и данные в текстовом формате, а SFTP шифрует данные перед отправкой на другой хост.
    .

    Добавить комментарий

    Ваш адрес email не будет опубликован.