Порт 21 для чего: Обзор службы и требования к сетевому порту — Windows Server

Содержание

Что делать, если не работает проброс портов? (для версий NDMS 2.11 и более ранних)

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "Что делать, если не работает переадресация портов?".

При настройке проброса (открытия) портов в NAT необходимо наличие "белого" глобального (публичного) IP-адреса на WAN-интерфейсе интернет-центра, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе устройства используется "серый" IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.

Чтобы проверить работоспособность проброса портов обратитесь к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. начиная с версии 2.01 в Keenetic был добавлен механизм NAT Loopback.
Вы можете воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов. Например: http://portscan.ru, http://www.whatsmyip.org/port-scanner/ и др.

Важно! Сервис или приложение, на которое осуществляется проброс портов, должно быть запущено, чтобы при проверке порт виделся как "открытый". Например, если FTP-сервер не запущен, а правило NAT для проброса порта имеется, статус порта при проверке будет "закрыт".

Ниже указаны типовые причины, которые могут привести к неработоспособности проброса портов, несмотря на правильную настройку данной функции в интернет-центре.

1. В настройках Безопасность > Трансляция сетевых адресов (NAT) выбран неправильный интерфейс. Нужно выбрать именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется осуществлять доступ к устройству домашней сети.
Если вы подключены к Интернет по выделенной линии Ethernet без авторизации или с авторизацией 802.1x, используйте интерфейс Broadband connection (ISP), при наличии авторизации PPPoE, PPTP или L2TP выберите соответствующий интерфейс, при подключении к беспроводной сети Wi-Fi выберите WifiMastrer/WifiStation, при подключении через 3G/4G-модем используйте UsbModem0.

2. На компьютере используется межсетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите межсетевой экран и проверьте работоспособность проброса портов.

3. Некоторые провайдеры в своей сети используют "скрытый NAT". Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.net. Если сервис определил у вас адрес отличный, от того который был настроен на WAN-интерфейсе Keenetic, в этом случае проброс портов работать не будет.

4. Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам (например, фильтрацию по 21/FTP, 80/HTTP, 25/POP3 и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.


Если существует такая возможность, нужно изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта 21 у провайдера на FTP-сервере можно использовать порт 2121).
Если же нет возможности изменить номер порта сервиса, можно в Keenetic в настройке трансляции адресов NAT использовать "подмену порта" (маппинг порта). Например:

В поле Протокол нужно установить значение TCP, а в поле Порты TCP/UDP указать требуемый внешний номер порта (например, 2121).
Таким образом, пользователи из Интернета будут обращаться по порту 2121, а интернет-центр будет эти запросы перенаправлять на сервер, который работает по порту 21.
Эту же настройку можно выполнить через интерфейс командной строки (CLI) интернет-центра, выполнив команды:
<config> ip stаtic tcp ISP 2121 192.168.1.59 21
<config> system configuration save

5.  В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию 192.168.1.1). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу интернет-центра Keenetic.

6. В интернет-центрах с ОС NDMS V2 функция NAT Loopback была добавлена, начиная с версии V2.01(xxxx)B20. Если в вашем устройстве используется более ранняя версия, то в ней отсутствует поддержка NAT Loopback. Выполните обновление компонентов системы. Процедура обновления компонентов NDMS для интернет-центров серии Keenetic представлена в статье: «Установка компонентов операционной системы NDMS через веб-интерфейс»

7. Начиная с версии операционной системы NDMS 2.08 изменилась логика работы NAT для соответствия с документом RFC 4787 "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP". В частности, изменение касается прохождения UDP-трафика. Теперь по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это изменение может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В связи с этим, в интерфейсе командной строки (CLI) интернет-центра была добавлена специальная команда, возвращающая предыдущие настройки:

<config> ip nat udp-port-preserve
<config> system configuration save

 


Если указанные рекомендации не помогут и по какой-то причине проброс портов так и не будет работать, следует обратиться в нашу службу технической поддержки, приложив файл конфигурации, файл диагностики и логов (системный журнал). Информацию о том, как это сделать, можно найти в статье: «Сохранение файла конфигурации, логов системного журнала и файла диагностики»

Примечание

Начиная с микропрограммы NDMS v2. 07.B2 появилась возможность организовывать доступ к интернет-центру при наличии "серого" (частного, внутреннего) IP-адреса на внешнем WAN-интерфейсе роутера.

KeenDNS — это удобный сервис доменных имен для удаленного доступа.
C помощью сервиса KeenDNS можно решить 2 задачи:

 

KB-5189

Порт - что это такое?

Весьма вероятно, что вы встречались с выражениями типа "у меня на работе закрыт такой-то порт, не могу запустить ICQ". Или "не могу отправить почту, провайдер закрыл 25ый порт". Попробую на пальцах объяснить, что это за зверь такой - порт.

Интернет - это не только коллекция Web-страниц, вроде той, что вы читаете в данный момент. Есть программы мгновенного обмена сообщениями, есть файлообменные сети, и зачастую один сервер в интернете предоставляет одновременно сервисы различного типа. Чтобы он мог легко отличать запросы к разным сервисам друг от друга, клиент указывает (автоматически, за вас это делает программа, которой вы пользуетесь) не только IP-адрес сервера, но и "тип протокола" и, в случае наиболее распространенных протоколов TCP и UDP, номер порта.

Порт - это всего лишь число, указываемое при запросе на соединение. Никаких физических портов не существует. Однако имеются так называемые стандартные порты, соглашения об использовании, которых все стараются придерживаться. Приведу таблицу с наиболее распространенными портами (сейчас я говорю о TCP портах).

НомерНазваниеОписание
80httpПросмотр Web-страниц. Вот сейчас, читая эту страницу, вы установили соединение по 80му порту. Наши браузеры настроены на автоматическое использование 80го порта (если специально не указать иное). Кстати, название протокола (http) вы видите наверху, в адресной строке.
443httpsШифрованный протокол просмотра Web-страниц, используется, например, при платежах через интернет
110pop3Протокол получения писем программами вроде Outlook Express
995pop3sЕго шифрованный брат, пока встречал только у почты от Google
25smtpОтправка писем теми же программами
465smtpsОпять-таки его шифрованная версия, тоже используется почтой Google
20,21ftp
TCP порт протокола нешифрованного скачивания данных
23telnetНешифрованное подсоединение к удаленным компьютерам в командной строке
22sshЕго шифрованная версия, имеющая кучу дополнительных опций

Полный список можно найти, например, вот тут

Теперь нужно прояснить некоторые понятия, касающиеся портов. Есть порт НА который устанавливается соединение и порт С которого устанавливается соединяется. Все стандартные порты, о которых мы говорили выше - это порты, НА которые устанавливается соединение. А в момент установки соединения генерируется некоторое случайное число, которое далее является портом С которого установили соединение. Оно используется в дальнейшем автоматически при обмене данными.

Что более существенно - то, что порты бывают "входящие" и "исходящие" (я буду говорить далее только о портах, НА которые создается соединение). Исходящий порт - это когда вы инициируете соединение, например, на 80ый порт для просмотра Web-страницы. Входящий - когда к вашему компьютеру обращается кто-то извне. В большинстве случаев вам этого не нужно, но некоторые файлообменные сети и способы скачивания файлов (вроде ftp) существенно лучше работают, если можно обратиться к вашему компьютеру извне к определенному порту. Однако это будет работать только если у вас реальный IP-адрес.

Теперь можно более грамотно ответить на вопрос, что есть закрытые порты, и что с этим делать. Провайдеры зачастую закрывают для вас определенные исходящие порты, например, Starnet блокирует 25 исходящий порт, не позволяя отправлять почту программами типа Outlook, кроме как через сервера Старнета. Это ограничение направлено на предотвращение распространения спама. Некоторые провайдеры блокируют также исходящий 465ый.

Что делать в таком случае? Самое логичное - обращаться к провайдеру с просьбой этот порт открыть. Это именно ваш провайдер обрезает исходящие запросы на этот порт, и никто другой вам это ограничение не снимет. Второй вариант - настраивать так называемое туннелирование в обход ограничений провайдера, но это - значительно сложнее. Также если речь идет именно об электронной почте, можно просто перестать использовать почтовые клиенты и начать использовать Web-интерфейс, хотя, признаюсь, мне этот способ не нравится.

Но прежде чем писать обращение к провайдеру, стоит убедиться в том, что источник проблемы - не на вашем компьютере. Посмотрите, не установлены ли у вас какие-либо программы, блокирующие трафик по определенным портам TCP или UDP. Попробуйте их на секунду отключить, а также отключить антивирусные программы. Но не советую оставлять их выключенными - вы можете нарушить безопасность компьютера.

И еще раз пара слов о входящих портах. Они вам понядобятся, если вы сервер на своем компьютере или если вы пользуютесь файлообменными сетями типа торрента. В этом случае стоит позаботиться о том, чтобы у вас был реальный IP-адрес - обычно провайдеры предоставляют эту услугу за символическую плату. Далее опять-таки стоит проверить, не устанавливлено ли у вас программ, блокирующих соединения по каким-либо портам. Но даже если у вас таких программ нет, то блокировать соединения может брандмауэр Windows. Доступ к его настройкам находится в меню пуск, панель управления.

Please enable JavaScript to view the comments powered by Disqus. comments powered by

Как открыть порт в Linux CentOS 7 с помощью firewalld?

Файрвол и отсутствие соединения

Итак, вы купили VDS (виртуальный сервер), установили какой-то сервис, например ftp (File Transfer Protocol — протокол передачи файлов) и у вас не проходят соединения на сервер из внешней сети Интернет, но локально в консоли всё работает. Это означает, что порт скорее всего закрыт файрволом от внешних соединений в целях безопасности.

Почему так происходит

По умолчанию большинство портов закрыто межсетевым краном от внешних соединений в целях безопасности. Системный администратор должен стараться по-максимуму ограничивать доступ к сервисам из вне. Например, в большинстве случаев доступ к СУБД (Система управления базами данных) закрыт для внешних IP-адресов. Если какому-то серверу из вне нужен доступ, то его открывают только для заданного IP-адреса или подсети. Разумно ограничить доступы межсетевым экраном ко всем внутренним службам, которые не должны быть доступны любому пользователю Интернет.

Установка firewalld

firewall-cmd --state #смотрим состояние файрвол, если файрвола нет, то устанавливаем его
yum install firewalld #скорее всего он у вас уже установлен
systemctl enable firewalld #включаем автоматический запуск фарвол. Это нужно, чтобы он запускался после перезагрузки сервера. 
systemctl start firewalld #запускаем файрвол
firewall-cmd --list-all #смотрим настройки

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens3
  sources:
  services: dhcpv6-client ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Как проверить, что порт закрыт именно файрволом?

systemctl stop firewalld #отключаем файрволл и проверяем есть ли соединение из вне
systemctl start firewalld #включаем файрвол

Открываем порт для внешних соединений всем пользователям

firewall-cmd --add-port=21/tcp
firewall-cmd --remove-port=21/tcp #эту команду используйте, чтобы закрыть порт

Это очевидный, но не самый лучший вариант. Он подойдёт вам, если нужно открыть какой-то конкретный порт. Если же задача разрешить сервис, то лучше подойдёт команда:

firewall-cmd --add-service=ftp
firewall-cmd --get-services #эта команда выводит список всех возможных сервисов, которые можно добавлять в файрвол
firewall-cmd --remove-service=ftp #эту команду используйте, чтобы закрыть службу

Пока эти команды только изменили текущую конфигурацию файрвола, но эти настройки не вступили в силу. Чтобы они заработали, нужно перезагрузить файрвол мягко без разрыва текущих соединений.

firewall-cmd --reload #перезагружаем без разрыва текущих соединений
firewall-cmd --complete-reload #сбросит и текущие соединения
firewall-cmd --list-all #смотрим настройки
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens3
  sources:
  services: dhcpv6-client ftp ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:

И если эти настройки нам нужны постоянно, то есть и после перезагрузки сервера, то нужно их сохранить.

firewall-cmd --runtime-to-permanent #делаем текущие настройки постоянными

При выполнении команд можно использовать опцию --permanent, чтобы настройки сразу сохранялись глобально. Но лучше так не делать, потому что вы не можете быть на 100% уверены, что ваши команды приведут к задуманному результату. Поэтому вы сначала добавляете настройки в текущую конфигурацию, перезагружаете файрвол, проверяете, что всё работает как требуется и только после тестирования сохраняете настройки глобально. Важно, конечно, не забыть их сохранить, а то после перезагрузки сервера будут проблемы.

Кстати, это распространённая ошибка системных администраторов, что сервер не устойчив к перезагрузкам. Некоторые системные администраторы любят хвастаться UPTIME в не сколько лет. Но у этого есть и обратная сторона, что они не могут быть уверены, что какие-то их команды не носят временный характер до ближайшей перезагрузки.

Открываем сервис для внешних соединений пользователям из заданной подсети

firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="ftp" accept'

Различные приемы сканирования портов |


Различные приемы сканирования портов

Как новичок в автомобильном деле, я могу часами биться в попытках использовать свои элементарные инструменты (молоток, клейкая лента, гаечный ключ и т.д.) для решения какой-либо проблемы. Когда все мои попытки с крахом проваливаются, и я буксирую свою развалюху к настоящему механику, он неизменно достает из большой коробки с интрументами какую-нибудь штуковину, и сразу складывается впечатление, что решение проблемы не требует много усилий. Искусство сканирования портов очень на это похоже. Эксперты понимают дюжины различных приемов сканирования портов и выбирают для конкретной задачи подходящий (или комбинацию из нескольких). Неопытные пользователи и script kiddies, пытаются решить все задачи с помощью используемого по умолчанию SYN сканирования. Т.к. Nmap является бесплатной, то единственным барьером на пути к овладению техникой сканирования портов является знание. Это все же лучше чем в мире автомобилей, где, когда вам наконец-то удается определить, что вам необходимо какое-либо устройство, вам еще надо будет заплатить за него тысячу долларов.

Большинство типов сканирования доступны только привилегированным пользователям, потому что посылаются и принимаются сырые пакеты, что требует прав пользователя root на Unix системах. Под Windows рекомендуется работать с учетной записью администратора, хотя иногда Nmap работает и с непривилегированными пользователя, когда в ОС уже загружена утилита WinPcap. Требование root привилегий было серьезным ограничением, когда Nmap была выпущена в свет в 1997, т. к. многие пользователи имели доступ только к разделяемым аккаунтам. Сейчас мир изменился. Компьютеры стали дешевле, многие пользователи имеют постоянный доступ в Интернет, а Unix системы для домашних компьютеров (включая Linux и Mac OS X) теперь широко распространены. Также теперь доступна Windows версия Nmap, что позволяет запускать ее на еще большем количестве компьютеров. По этим причинам, пользователям нет необходимости запускать Nmap с разделяемых аккаунтов. Это большая удача, т.к. функции требующие привилегированного доступа делают Nmap намного более мощной и гибкой.

Когда Nmap предпринимает попытку выдать правильные результаты, надо иметь ввиду, что вся информация базируется на пакетах, возвращенных целевыми машинами (или брандмауэром перед ними). Такие хосты могут быть ненадежными и посылать ответы с целью ввести Nmap в забдуждение. Намного более распространным случаем являются не совместимые с RFC хосты, которые отвечают на запросы Nmap не так, как должны. Сканирования типа FIN, NULL и Xmas наиболее восприимчивы к такого рода проблемам. Такие сложности специфичны только для определенных типов сканирования, и поэтому обсуждаются в посвященных им разделах.

В этом разделе описываются около дюжины способов сканирования портов поддерживаемых Nmap. В любой момент времени вы можете использовать только один метод; исключение составляет UDP сканирование (-sU), которое может быть скомбинировано с любым типом TCP сканирования. В качестве памятки имейте ввиду, что различные опции сканирования портов задаются в форме -s<C>, где <C> это символ из названия какого-либо типа сканирования, обычно первый. Единственное исключение это FTP bounce сканирование (-b). По умолчанию Nmap осуществляет SYN сканирование; этот тип сканирования заменяет сканирование с использованием соединения для пользователей не имеющих достаточных привилегий для отправки сырых пакетов (требует root доступа в Unix), или если были заданы цели в формате IPv6. Среди описанных ниже типов сканирования, непривилегированные пользователи могут осуществлять только сканирование с использованием соединения и FTP bounce сканирование.

-sS (TCP SYN сканирование)

SYN это используемый по умолчанию и наиболее популярный тип сканирования. На то есть несколько причин. Он может быть быстро запущен, он способен сканировать тысячи портов в секунду при быстром соединении, его работе не препятствуют ограничивающие бранмауэры. Этот тип сканирования относительно ненавящив и незаметен, т.к. при таком сканировании TCP соединение никогда не устанавливается до конца. Он работает с любым TCP стеком, не завися от каки-либо особенностей специфичной платформы, как это происходит при сканированиях типа FIN/NULL/Xmas, Maimon и idle сканировании. Он также предоставляет ясную и достоверную дифференциацию между состояниями открыт, закрыт и фильтруется.

Эту технику часто называют сканированием с использованием полуотрытых соединений, т. к. вы не открываете полного TCP соединения. Вы посылаете SYN пакет, как если бы вы хотели установить реальное соединение и ждете. Ответы SYN/ACK указывают на то, что порт прослушивается (открыт), а RST (сброс) на то, что не прослушивается. Если после нескольких запросов не приходит никакого ответа, то порт помечается как фильтруемый. Порт также помечается как фильтруемый, если в ответ приходит ICMP сообщение об ошибке недостижимости (тип 3, код 1,2, 3, 9, 10 или 13).

-sT (TCP сканирование с использованием системного вызова connect)

Это используемый по умолчанию тип TCP сканирования, когда недоступно SYN сканирование. Это происходит в случае, когда у пользователя нет привилегий для использования сырых пакетов или при сканировании IPv6 сетей. Вместо того, чтобы использовать сырые пакеты, как это происходит при большинстве других типов сканирования, Nmap "просит" операционную систему установить соединение с целевой машиной по указанному порту путем системного вызова connect. Это такой же высокоуровневый системный вызов, используемый браузерами, P2P клиентами и другими приложениями для установки соединения. Этот вызов является частью программируемого интерфейса, известного как Berkeley Sockets API. Вместо того, чтобы считывать ответы в форме сырых пакетов, Nmap использует этот API для получения информации о статусе каждой попытки соединения.

При доступности SYN сканирования, оно, безусловно, будет являться лучшм выбором. У Nmap имеется меньше возможностей контролирования высокоуровнего вызова connect по сравнению с сырыми пакетами, что делает его менее эффективным. Системный вызов завершает соединения по открытым портам, вместо того, чтобы использовать полуоткрытые соединения, как в случае с SYN сканированием. Таким образом на получение той же самой информации потребуется больше времени и пакетов, да к тому же целевые машины скорее всего запишут это соединение в свои логи. То же самое сделает и порядочная IDS, хотя большинство машин не имеют такой системы защиты. Многие службы на вашей Unix системе будут добавлять запись в системный лог (syslog), а также сообщение об ошибке, когда Nmap будет устанавливать и закрывать соединение без отправления данных. Некоторые службы даже аварийно завершают свою работу, когда это происходит, хотя это не является обычной ситуацией. Администратор, который увидит в логах группу записей о попытке установки соединения от одной и той же системы, должен знать, что его машина подверглась такому типу сканирования.

-sU (Различные типы UDP сканирования)

В то время как большинство сервисов Интернета используют TCP протокол, UDP службы также широко распространены. Тремя наиболее популярными являются DNS, SNMP и DHCP (используют порты 53, 161/162 и 67/68). Т.к. UDP сканирование в общем случае медленнее и сложнее TCP, то многие специалисты по безопасности игнорируют эти порты. Это является ошибкой, т.к. существуют UDP службы, которые используются атакующими. К счастью, Nmap позволяет инвентаризировать UDP порты.

UDP сканирование запускается опцией -sU. Оно может быть скомбинировано с каким-либо типом TCP сканирования, например SYN сканирование (-sS), чтобы использовать оба протокола за один проход.

UDP сканирование работает путем посылки пустого (без данных) UDP заголовка на каждый целевой порт. Если в ответ приходит ICMP ошибка о недостижимости порта (тип 3, код 3), значит порт закрыт. Другие ICMP ошибки недостижимости (тип 3, коды 1, 2, 9, 10 или 13) указывают на то, что порт фильтруется. Иногда, служба будет отвечать UDP пакетом, указывая на то, что порт открыт. Если после нескольких попыток не было получено никакого ответа, то порт классифицируется как открыт|фильтруется. Это означает, что порт может быть открыт, или, возможно, пакетный фильтр блокирует его. Функция определения версии (-sV) может быть полезна для дифференциации действительно открытых портов и фильтруемых.

Большой проблемой при UDP сканировании является его медленная скорость работы. Открытые и фильтруемые порты редко посылают какие-либо ответы, заставляя Nmap отправлять повторные запросы, на случай если пакеты были утеряны. Закрытые порты часто оказываются еще большей проблемой. Обычно они в ответ возвращают ICMP ошибку о недостижимости порта. Но в отличии от RST пакетов отсылаемых закрытыми TCP портами в ответ на SYN или сканирование с установкой соединения, многие хосты ограничивают лимит ICMP сообщений о недостижимости порта по умолчанию. Linux и Solaris особенно строги в этом плане. Например, ядро Linux 2.4.20 огранивает количество таких сообщений до одного в секунду (в net/ipv4/icmp.c).

Nmap обнаруживает такого рода ограничения и соответственно сокращает количество запросов, чтобы не забивать сеть бесполезными пакетами, которые все равно будут отброшены целевой машиной. К сожалению, при ограничении в стиле Linux (один пакет в секунду) сканирование 65,536 портов займет более 18 часов. К способам увеличения скорости UDP сканирования относятся: параллельное сканирование нескольких хостов, сканирование в первую очередь только наиболее популярных портов, сканирование из-за брандмауэра и использование --host-timeout дял пропуска медленных хостов.

-sN; -sF; -sX (TCP NULL, FIN и Xmas сканирования)

Эти три типа сканирования используют (другие типы сканирования доступны с использованием опции --scanflags описанной в другой секции) незаметную лазейку в TCP RFC, чтобы разделять порты на открытые и закрытые. На странице 65 RFC 793 говорится, что «если порт назначения ЗАКРЫТ .... входящий сегмент не содержащий RST повлечет за собой отправку RST в ответ.» На следующей странице, где обсуждается отправка пакетов без установленных битов SYN, RST или ACK, утверждается что: «вы вряд ли с этим столкнетесь, но если столкнетесь, то сбросьте сегменти и вернитесь к исходному состоянию.»

Когда сканируется система отвечающая требованиям RFC, любой пакет, не содержащий установленного бита SYN, RST или ACK, повлечет за собой отправку RST в ответ в случае, если порт закрыт, или не повлечет никакого ответа, если порт открыт. Т.к. ни один из этих битов не установлен, то любая комбинация трех оставшихся (FIN, PSH и URG) будет являться правильной. Nmap использует это в трех типах сканирования:

Null сканирование (-sN)

Не устанавливаются никакие биты (Флагов в TCP заголовоке 0)

FIN сканирование (-sF)

Устанавливается только TCP FIN бит.

Xmas сканирование (-sX)

Устанавливаются FIN, PSH и URG флаги.

Эти три типа сканирования работают по одной схеме, различия только в TCP флагах установленных в пакетах запросов. Если в ответ приходит RST пакет, то порт считается закрытым, отсутствие ответа означает, что порт открыт|фильтруется. Порт помечается как фильтруется, если в ответ приходит ICMP ошибка о недостижимости (тип 3, код 1, 2, 3, 9, 10 или 13).

Ключевой особенностью этих типов сканирования является их способность незаметно обойти некоторые не учитывающие состояние (non-stateful) брандмауэры и роутеры с функцией пакетной фильтрации. Еще одним преимуществом является то, что они даже чуть более незаметны, чем SYN сканирование. Все же не надо на это полагаться - большинство современных IDS могут быть сконфигурированы на их обнаружение. Большим недостатком является то, что не все системы следуют RFC 793 дословно. Некоторые системы посылают RST ответы на запросы не зависимо от того, открыт порт или закрыт. Это приводит к тому, что все порты помечаются как закрытые. Основными системами ведущими себя подобным образом являются Microsoft Windows, многие устройства Cisco, BSDI и IBM OS/400. Хотя такое сканирование применимо к большинству систем, основанных на Unix. Еще одним недостатком этих видов сканирования является их неспособность разделять порты на открытые и фильтруемые, т.к. порт помечается как открыт|фильтруется.

-sA (TCP ACK сканирование)

Этот тип сканирования сильно отличается от всех других тем, что он не способен определить открый порт open (или даже открытый|фильтруемый). Он используются для выявления правил брандмауэров, определения учитывают ли он состояние или нет, а также для определения фильтруемых ими портов.

Пакет запроса при таком типе сканирования содержит установленным только ACK флаг (если не используется --scanflags). При сканировании нефильтруемых систем, открытые и закрытые порты оба будут возвращать в ответ RST пакет. Nmap помечает их как не фильтруемые, имея ввиду, что они достижимы для ACK пакетов, но неизвестно открыты они или закрыты. Порты, которые не отвечают или посылают в ответ ICMP сообщение об ошибке (тип 3, код 1, 2, 3, 9, 10 или 13), помечаются как фильтруемые.

-sW (TCP Window сканирование)

Этот тип сканирования практически то же самое, что и ACK сканирование, за исключением того, что он использует особенности реализации различных систем для разделения портов на открытые и закрытые, вместо того, чтобы всегда при получении RST пакета выводить не фильтруется. Это осуществляется путем анализа TCP Window поля полученного в ответ RST пакета. В некоторых системах открытые порты используют положительное значение этого поля (даже в RST пакетах), а закрытые - нулевое. Поэтому вместо того, что все время при получении RST пакета в ответ помечать порты как не фильтруемые, при Window сканировании порты помечаются как открытые или закрытые, если значение поля TCP Window положительно или равно нулю соответственно.

Этот тип сканирования основывается на особенностях реализации меньшинства систем в Интернете, поэтому вы не можете все время доверять ему. В общем случае в системах, не имеющих таких особенностей, все порты будут помечаться как закрытые. Конечно, это возможно, что у машины действительно нет открытых портов. Если большинство просканированных портов закрыты, и лишь несколько распространненых портов (таких как 22, 25, 53) фильтруются, то скорее всего результатам сканирования можно доверять. Иногда, системы будут вести себя прямо противоположным образом. Если в результате сканирования будет найдено 1000 открытых портов и 3 закрытых или фильтруемых, то как раз эти 3 могут оказаться действительно открытыми.

-sM (TCP сканирование Мэймона (Maimon))

Этот тип сканирования носит имя своего первооткрывателя, Уриела Мэймона (Uriel Maimon). Он описал эту технику в журнале Phrack Magazine, выпуск #49 (Ноябрь 1996). Версия Nmap с поддержкой этого типа сканирования была выпущена через два номера. Техника практически такая же как и при NULL, FIN и Xmas сканированиях, только в качестве запросов используются запросы FIN/ACK. Согласно RFC 793 (TCP), в ответ на такой запрос должен быть сгенерирован RST пакет, если порт открыт или закрыт. Тем не менее, Уриел заметил, что многие BSD системы просто отбрасывают пакет, если порт открыт.

--scanflags (Заказное TCP сканирование)

Действительно продвинутым пользователям Nmap не нужды ограничивать себя заранее приготовленными типами сканирования. С помощью опции --scanflags вы можете разработать свой тип сканирования путем задания специфичных TCP флагов. Используйте свое воображение, обходя системы обнаружения вторжений, чьи производители просто просмотрели справочное руководство Nmap, путем задания собственных правил!

Аргументом опции --scanflags может быть числовое значение, например, 9 (PSH и FIN флаги), но использование символьных имен намного проще. Используйте любые комбинации URG, ACK, PSH, RST, SYN и FIN. Например, опцией --scanflags URGACKPSHRSTSYNFIN будут установлены все флаги, хотя это и не очень полезно для сканирования. Порядок задания флагов не имеет значения.

В добавлении к заданию желаемых флагов, вы также можете задать тип TCP сканирования (например, -sA или -sF). Это укажет Nmap на то, как необходимо интерпретировать ответы. Например, при SYN сканировании отсутствие ответа указывает на фильтруемый порт, тогда как при FIN сканировании - на открытый|фильтруемый. Nmap будет осуществлять заданный тип сканирования, но используя указанные вами TCP флаги вместо стандартных. Если вы не указываете тип сканирования, то по умолчанию будет использоваться SYN.

-sI <зомби_хост>[:<порт>] ("ленивое" idle сканирование)

Этот продвинутый метод сканирования позволяет осуществить действительно незаметное TCP сканирование портов цели (имеется ввиду, что никакие пакеты не отсылаются на целевую машину с вашего реального IP адерса). Вместо этого, на зомби машине используется предсказуемая последовательность генерации ID IP фрагментов для сбора информации об открытых портах цели. Системы IDS будут считать, что сканирование производится с заданной вами зомби машины (которая должна работать и удовлетворять определенным критериям). Этот тип сканирования слишком сложен для описания в этом справочном руководстве, поэтому я написал и выложил подробное описание на https://nmap. org/book/idlescan.html.

Помимо его незаметности (в силу своей природы), этот тип сканирования также позволяет определять основанные на IP доверительные отношения между машинами. Список открытых портов показывает открытые порты с точки зрения зомби машины. Поэтому вы можете попробовать просканировать цель используя различные зомби машины, которым, вы считаете, возможно будут доверять (посредством правил роутера/пакетного фильтра).

Вы можете добавить номер порта после двоеточия к зомби хосту, если хотите использовать конкретный порт. По умолчанию будет использоваться порт 80.

Порты также могут быть заданы именами, которым они соответствуют в файле nmap-services. Вы даже можете использовать шаблоны * и ? в именах. Например, чтобы просканировать ftp и все порты начинающиеся с http используйте -p ftp,http*. В таких случаях лучше брать аргументы -p в кавычки.

Диапазоны портов заключаются в квадратные скобки; будут просканированы порты из этого диапазона, встречающиеся в nmap-services. Например, с помощью следующей опции будут просканированы все порты из nmap-services равные или меньше 1024: -p [-1024]. В таких случаях лучше брать аргументы -p в кавычки.

-sO (Сканирование IP протокола)

Сканирование такого типа позволяет определить, какие IP протоколы (TCP, ICMP, IGMP и т.д.) поддерживаются целевыми машинами. Технически такое сканирование не является разновидностью сканирования портов, т.к. при нем циклически перебираются номера IP протоколов вместо номеров TCP или UDP портов. Хотя здесь все же используется опция -p для выбора номеров протоколов для сканирования, результаты выдаются в формате таблицы портов, и даже используется тот же механизм сканирования, что и при различных вариантах сканирования портов. Поэтому он достаточно близок к сканированию портов и описывается здесь.

Помимо полезности непосредственно в своей сфере применения, этот тип сканирования также демонстрирует всю мощь открытого программного обеспечения (open-source software). Хотя основная идея довольна проста, я никогда не думал включить такую функцию в Nmap, и не получал запросов на это. Затем, летом 2000-го, Джерард Риджер (Gerhard Rieger) развил эту идею, написал превосходный патч воплощающий ее и отослал его на nmap-hackers рассылку. Я включил этот патч в Nmap и на следующий день выпустил новую версию. Лишь единицы комерческого программного обеспечения могут похвастаться пользователями, достаточно полными энтузиазма для разработки и предоставления своих улучшений!

Способ работы этого типа сканирования очень похож на реализованный в UDP сканировании. Вместо того, чтобы изменять в UDP пакете поле, содержащее номер порта, отсылаются заголовки IP пакета, и изменяется 8 битное поле IP протокола. Заголовки обычно пустые, не содержащие никаких данных и даже правильного заголовка для требуемого протокола. Исключениями явлются TCP, UDP и ICMP. Включение правильного заголовка для этих протоколов необходимо, т.к. в обратном случае некоторые системы не будут их отсылать, да и у Nmap есть все необходимые функции для их создания. Вместо того, чтобы ожидать в ответ ICMP сообщение о недостижимости порта, этот тип сканирования ожидает ICMP сообщение о недостижимости протокола. Если Nmap получает любой ответ по любому протоколу, то протокол помечается как открытый. ICMP ошибка о неостижимости протокола (тип 3, код 2) помечает протокол как закрытый. Другие ICMP ошибки недостижимости (тип 3, код 1, 3, 9, 10 или 13) помечают протокол как фильтруемый (в то же время они показывают, что протокол ICMP открыт). Если не приходит никакого ответа после нескольких запросов, то протокол помечается как открыт|фильтруется

.
-b <FTP хост> (FTP bounce сканирование)

Интересной возможностью FTP протокола (RFC 959) является поддержка так называемых прокси FTP соединений. Это позволяет пользователю подключиться к одному FTP серверу, а затем попросить его передать файлы другому. Это является грубым нарушением, поэтому многие сервера прекратили поддерживать эту функцию. Используя эту функцию, можно осуществить с помощью данного FTP сервера сканирование портов других хостов. Просто попросите FTP сервер переслать файл на каждый интересующий вас порт целевой машины по очереди. Сообщение об ошибке укажет: открыт порт или нет. Это хороший способ обхода брандмауэров, т.к. организационные FTP сервера обычно имеют больше доступа к другим внутренним хостам, чем какие-либо другие машины. В Nmap такой тип сканирования задается опцией -b. В качестве аргумента ей передается <имя_пользователя>:<пароль>@<сервер>:<порт>. <Сервер> - это сетевое имя или IP адрес FTP сервера. Как и в случае в обычными URL, вы можете опустить <имя_пользователя>:<пароль>, тогда будут использованы анонимные данные (пользователь: anonymous пароль:[email protected]). Номер порта (и предшествующее ему двоеточие) также можно не указывать; тогда будет использован FTP порт по умолчанию (21) для подключения к <серверу>.

Эта уязвимость была широко распространена в 1997, когда была выпущена Nmap, но теперь почти везде исправлена. Уязвимые сервера по-прежнему есть, так что, если ничего другое не помогает, то стоит попробовать. Если вашей целью является обход бранмауэра, то просканируйте целевую сеть на наличие открытого порта 21 (или даже на наличие любых FTP служб, если вы используете определение версии), а затем попробуйте данный тип сканирования с каждым из найденных. Nmap скажет вам, уязвим хост или нет. Если вы просто пытаетесь замести следы, то вам нет необходимости (и, фактически, не следует) ограничивать себя только хостами целевой сети. Перед тем как вы начнете сканировать произвольные Интернет адреса на наличие уязвимого FTP сервера, имейте ввиду, что многим системным администраторам это не понравится.

Сетевые компьютерные порты - виды, принципы

Компьютерный сетевой порт – это число, которое идентифицирует назначение сетевых потоков данных в пределах одного компьютера. Все хосты (компьютеры) обмениваются друг с другом информацией при помощи уникальных цифровых IP-адресов, представленных двоичной системой.

Порты позволяют определить сетевые приложения, работающие на компьютере, множество которых может быть запущено одновременно. Основными сетевыми программами могут быть:

  • WEB – сервер, предоставляющий трансляцию данных с веб-сайтов;
  • Сервер почты, позволяющие обмениваться электронными письмами;
  • FTP – сервер, обеспечивающий передачу информации.

Основным предназначением портов является прием и передача данных определенного вида, а также устранение ошибки неоднозначности при попытке установить связь с хостом по IP-адресу. Для обеспечения трансляции данных с веб-сервера необходимо указать IP адрес хоста и номер порта, определяющий программу веб-сервера.

Принцип работы портов

Порт отображается в виде 16 битного числа от 1 до 65535, которое доступно приложениям для обмена трафиком. Использование портов регламентируется специальной организацией IANA, предоставляющей стандарты при работе с портами.

Когда на определенном хосте пользователь открывает окно браузера и набирает необходимый поисковой запрос, веб-сервер автоматически отправляет пакеты данных по протоколу TCP/IP в порт 80.

В случае использования почтового клиента Outlook Express существуют два стандартизированных порта:

  • 110 порт используется для получения электронных писем;
  • посредством порта 25 письма отправляются в глобальную сеть в поисках своего адресата.

Существующее количество портов обеспечивает корректное функционирование всех приложений, которым необходимо использовать сетевое соединение.

Однако порты обеспечивают доступ в глобальную сеть не только программам, установленным пользователем. Возможны ситуации, когда вредоносные программы (вирусы) инсталлируются в систему и открывают порт без ведома пользователя. И уже с помощью открытого порта могут считывать информацию, находящуюся на компьютере. Поэтому стоит знать, какие основные порты требуются пользователю и каким образом можно их открывать и закрывать.

Протокол передачи файлов

- FTP


:: jseblod :: article :: / jseblod ::
:: panel_article :: :: / panel_article ::
:: wysiwyg_introtext ::

Передача файлов является одним из наиболее часто используемых приложений TCP / IP, и на нее приходится много сетевого трафика в Интернете. Различные стандартные протоколы передачи файлов существовали еще до того, как Интернет стал доступен каждому, и именно эти ранние версии программного обеспечения для передачи файлов помогли создать сегодняшний стандарт, известный как протокол передачи файлов (FTP). Самые последние спецификации протокола перечислены в RFC 959.

:: / wysiwyg_introtext ::
:: my_readmore :: :: / my_readmore ::
:: wysiwyg_fulltext ::

Протокол

FTP использует TCP в качестве транспортного протокола. Это означает, что FTP наследует надежность TCP и очень надежен для передачи файлов. Скорее всего, если вы загружаете файлы, вы, вероятно, использовали ftp несколько сотен раз, даже не осознавая этого! А если у вас огромная коллекция варез, то сделайте это пару тысяч раз 🙂

На рисунке ниже показано отличие FTP от модели OSI.Как я уже отмечал в других разделах, важно понимать концепцию модели OSI, потому что она также очень поможет вам понять все это 🙂

Мы уже упоминали, что FTP использует TCP в качестве транспорта, но не сказали, какие порты он использует! Номера портов 21 и 20 используются для FTP. Порт 21 используется для установления соединения между 2 компьютерами (или хостами) и порт 20 для передачи данных (через канал данных).

Но есть некоторые случаи, когда порт 21 используется как для установления соединения, так и для передачи данных, и я вскоре их проанализирую.

Лучшее, что вы можете сделать, чтобы «увидеть» это сами, - это взять сниффер пакетов, который вы легко найдете в нашем разделе загрузок, и попытаться перехватить несколько пакетов, пока вы переходите на сайт по ftp.

Оба порта - 20 и 21 - Активный режим FTP

Я приложил снимок экрана с моей рабочей станции, на котором четко показаны 2 используемых порта. В этом примере я ввел ftp в ftp.cdrom.com. Нажмите здесь, чтобы просмотреть полное изображение

Только порт 21 - пассивный режим FTP

Теперь, на следующем изображении, я зашел по ftp на свой сервер NetWare здесь, дома, и угадайте, что.... Использовался только порт 21! Вот скриншот:

Щелкните здесь, чтобы просмотреть полное изображение.

Позвольте мне объяснить, почему это происходит:

FTP имеет два отдельных режима работы: активный и пассивный. Вы будете использовать любой из них в зависимости от того, защищен ли ваш компьютер брандмауэром.

Активный режим FTP

Активный режим обычно используется, когда между вами и FTP-сервером нет брандмауэра. В таких случаях у вас есть прямое подключение к Интернету.Когда вы (клиент) пытаетесь установить соединение с FTP-сервером, ваша рабочая станция включает второй номер порта (с помощью команды PORT), который используется при обмене данными, он известен как канал данных.

Затем FTP-сервер начинает обмен данными со своего собственного порта 20 на любой порт, назначенный вашей рабочей станцией (на снимке экрана моя рабочая станция использовала порт 1086), и поскольку сервер инициировал обмен данными, он не контролируется рабочей станцией. клиент.Это также может позволить незваным данным поступать на ваш компьютер из любого места, представляя собой обычную передачу по FTP. Это одна из причин, по которой пассивный FTP более безопасен.

Пассивный режим FTP

Используя обычный или пассивный FTP, клиент начинает сеанс, отправляя запрос на связь через TCP-порт 21, порт, который обычно назначается для этого использования на FTP-сервере. Эта связь известна как соединение канала управления.

На этом этапе вместо команды PORT отправляется команда PASV.Вместо указания порта, на который сервер может отправлять сообщения, команда PASV просит сервер указать порт, который он желает использовать для соединения с каналом данных. Сервер отвечает по каналу управления номером порта, который затем использует клиент для инициирования обмена по каналу данных. Таким образом, сервер всегда будет отвечать на инициированные клиентом запросы по каналу данных, и межсетевой экран может их соотнести.

Настроить клиентскую программу FTP для использования активного или пассивного FTP просто.Например, в Cute FTP вы можете настроить свою программу на использование пассивного FTP, перейдя в FTP -> Настройки -> Параметры, а затем выбрав вкладку «Брандмауэр»:

Если вы удалите указанные выше параметры, ваша рабочая станция будет использовать (если возможно) активный режим FTP, и я скажу «если возможно», потому что, если вы уже находитесь за брандмауэром, вероятно, вы не будете использовать Active FTP, поэтому программа автоматически перейдет в пассивный режим FTP.

Итак, давайте посмотрим на процесс установления FTP-соединения компьютером с сервером:.

........

Вышеупомянутое предполагает прямое соединение с FTP-сервером. Для простоты мы смотрим на способ создания FTP-соединения и не беспокоимся, пассивное или активное FTP-соединение. Поскольку FTP использует TCP в качестве транспорта, вы ожидаете увидеть трехстороннее рукопожатие. Как только это будет выполнено и будет установлено соединение для передачи данных, клиент отправит свое имя для входа, а затем пароль. После того, как последовательность аутентификации завершена и пользователь аутентифицирован на Сервере, ему разрешен доступ и он готов к выщелачиванию сайта 🙂

Наконец, ниже приведены наиболее часто используемые команды FTP:

ABOR: отменить предыдущую команду FTP

LIST и NLST: список файлов и каталогов

DELE: удалить файл

RMD: удалить каталог

MKD: создать каталог

PWD: распечатать текущий рабочий каталог (показать, какой каталог dir. ваш в)

PASS: отправить пароль

ПОРТ: запросить номер открытого порта для определенного IP-адреса / номера порта

ВЫЙТИ: выйти из сервера

RETR: получить файл

STOR: отправить или положить файл

SYST: тип системы идентификации

TYPE: укажите тип (A для ASCII, I для двоичного)

ПОЛЬЗОВАТЕЛЬ: отправить имя пользователя

И на этом наш анализ протокола FTP почти завершен!

:: / wysiwyg_fulltext ::
:: сведения_статьи_панели :: :: / детали_статьи_панели ::
:: параметры_статьи_панели :: :: / параметры_статьи_панели ::
:: мета_статьи_панели :: :: / мета_статьи_панели ::
:: конец_панели :: :: / panel_end ::
:: jseblodend :::: / jseblodend ::

GRC | Администрация порта, для Интернет-порта 21

Важное слово о безопасности и конфиденциальности FTP

Было сказано, что любой «открытый FTP-сервер» будет найден и быстро изучен интернет-хакерами в течение очень короткого времени после его появления в Интернете. Хакерам нравятся открытые FTP-серверы, которые анонимно принимают файлы, которые затем становятся доступными для других без какого-либо контроля со стороны администрации FTP-сервера. Такие «ящики для хранения файлов» быстро загружаются незаконным программным обеспечением и другими потенциально опасными файлами и используются в качестве точек анонимного обмена файлами. Такое автоматическое использование может не только стать огромным потребителем пропускной способности вашей сети, но вы можете обнаружить, что объясняете свой очевидный «хостинг» незаконных, защищенных авторским правом или иным образом неприятных файлов властям.

Если вам необходимо запустить FTP-сервер для анонимного приема файлов, обязательно создайте отдельный «входящий» каталог для приема отправленных файлов. Убедитесь, что содержимое этого входящего каталога недоступно для исходящей загрузки без явного перемещения файла в исходящий каталог.

Если наш анализ показал, что ваш порт службы FTP открыт, вы обязательно захотите предпринять какие-то действия (если это не то, что вы намереваетесь). Как видно из списка известных троянских программ для FTP-портов в конце этой страницы, некоторые вредоносные программы могут быть ответственны за тайное открытие этого порта в вашей системе. Или, если вы намеренно используете FTP-сервер, вам нужно быть уверенным, что вы готовы принять на себя ответственность за управление, связанную с предложением такого общедоступного сервера в Интернете. Это не для всех.

О протоколе FTP

Протокол FTP использует два параллельных соединения: одно для управления и контроля, а второй канал для передачи данных.Если не указан другой порт, FTP-серверы ожидают подключения клиентов к их порту 21. Использование нестандартных портов FTP-сервера более распространено, чем для других протоколов, из-за исторических проблем с злоумышленниками, ищущими FTP-серверы на порту 21. Вы можете услышать, как опытный компьютерный пользователь говорит: «У меня FTP-сервер работает на 60-м порту» (или что-то еще). Это может быть сделано, чтобы избежать конфликта порта с другим FTP-сервером, уже работающим на порту по умолчанию. Но более вероятно, что это делается для того, чтобы настоящий FTP-сервер находился подальше от узконаправленного и часто ищущего порта.

После инициации соединения клиент указывает серверу, желает ли он установить «активный» или «пассивный» сеанс FTP. Это определяет направление вторичного соединения «FTP-данные»:

Активный FTP

Активный FTP - это традиционный протокол по умолчанию, который обычно используется полными клиентскими программами FTP. Активный FTP использует «обратный канал данных», который может вызвать проблемы при работе за некоторыми старыми межсетевыми экранами и маршрутизаторами NAT, хотя современные продукты, как правило, «поддерживают FTP».Для сравнения, пассивный FTP (см. Следующий раздел) в основном используется веб-браузерами и может быть более дружественным к межсетевому экрану и маршрутизатору NAT.

Как мы видели выше, сеансы FTP инициируются подключением FTP-клиента к порту 21 любого FTP-сервера. Это устанавливает «прямой» канал управления и контроля. Затем активный FTP-клиент открывает порт прослушивания на своей машине, сообщает удаленному FTP-серверу об этом номере порта и запрашивает удаленный FTP-сервер для подключения со своего порта 20 обратно к клиенту на указанном им порте.Это устанавливает «обратный канал данных» для передачи данных.

Поскольку многие брандмауэры и NAT-маршрутизаторы автоматически блокируют входящие подключения к своим защищенным клиентским машинам, необходимость создания этого второго «обратного канала данных» может вызвать проблемы. Хотя пассивный FTP был создан для преодоления этих проблем, большинство современных межсетевых экранов и маршрутизаторов NAT стали «знать FTP». Они контролируют исходящий канал управления, интерпретируют запрос клиента к удаленному серверу и открывают входящий порт обратно через маршрутизатор на клиентский компьютер.Таким образом, активные клиенты FTP могут без проблем работать за межсетевыми экранами, поддерживающими FTP, и маршрутизаторами NAT.

Passive FTP

Passive FTP протокол был создан для преодоления проблем межсетевого экрана и маршрутизатора, связанных с необходимостью активного FTP устанавливать обратный канал данных обратно от сервера к клиенту. Пассивный FTP работает так же, как активный FTP, за исключением того, что и начальный канал управления (к порту сервера по умолчанию 21), и канал данных (к порту сервера по умолчанию 20) инициируются клиентом и принимаются и принимаются сервером.Пассивный FTP обычно используется веб-браузерами и иногда может быть запрошен как дополнительный режим у полноценных FTP-клиентов. Поскольку пассивный FTP не использует подход «обратного канала данных», он часто более удобен для межсетевых экранов и маршрутизаторов NAT, хотя большинство современных маршрутизаторов NAT теперь «поддерживают FTP».

FTP RFC (полная спецификация)

Спецификацию всех нюансов и деталей протокола FTP, написанную людьми, которые его изобрели, можно найти здесь:

http: // www.ietf.org/rfc/rfc959.txt

http://www.faqs.org/rfcs/rfc959.html

Trojan Sightings: Back Construction, Blade Runner, FTP-сервер Cattivik, CC Invader, Dark FTP, Doly Trojan, Fore, FreddyK, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, RTB 666, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash

Все содержимое этой страницы защищено авторским правом © 2008 Gibson Research Corporation.

Номер порта TCP 21 и как он работает с FTP

Протокол передачи файлов обеспечивает основу для передачи информации между двумя компьютерами в сети, во многом подобно протоколу передачи гипертекста через веб-браузер.Однако FTP работает с двумя разными портами протокола управления передачей: 20 и 21. Оба порта FTP 20 и 21 должны быть открыты в сети для успешной передачи файлов.

После ввода правильного имени пользователя и пароля FTP с помощью программного обеспечения FTP-клиента программное обеспечение FTP-сервера открывает порт 21, который по умолчанию иногда называют командой или управляющим портом . Затем клиент устанавливает другое соединение с сервером через порт 20, чтобы можно было осуществить фактическую передачу файлов.

Getty Images

Порт по умолчанию для отправки команд и файлов через FTP можно изменить. Однако стандарт существует, так что клиентские / программные программы, маршрутизаторы и брандмауэры могут согласовывать одни и те же порты, что упрощает настройку.

Как подключиться через FTP-порт 21

В случае сбоя FTP правильные порты могут быть не открыты в сети. Эта блокировка может происходить как на стороне сервера, так и на стороне клиента. Любое программное обеспечение, которое блокирует порты, необходимо вручную изменить, чтобы открыть их, включая маршрутизаторы и брандмауэры, которые могут заблокировать порты, если операционная система этого не сделает.

По умолчанию маршрутизаторы и брандмауэры могут не принимать соединения на порту 21. Если FTP не работает, лучше сначала проверить, правильно ли маршрутизатор пересылает запросы на этот порт и что брандмауэр не блокирует порт 21.

Используйте Port Checker для сканирования вашей сети, чтобы увидеть, открыт ли у маршрутизатора порт 21. Функция, называемая пассивным режимом, помогает проверить наличие препятствий для доступа к портам за маршрутизатором.

В дополнение к обеспечению того, чтобы порт 21 был открыт с обеих сторон канала связи, порт 20 также должен быть разрешен в сети и через клиентское программное обеспечение. Игнорирование открытия обоих портов препятствует выполнению полной передачи туда-обратно.

Когда он подключен к FTP-серверу, клиентское программное обеспечение запрашивает учетные данные для входа - имя пользователя и пароль - которые необходимы для доступа к этому конкретному серверу. Многие FTP-серверы, если вы входите в систему через telnet или соединение Secure Shell, будут предлагать анонимные учетные данные по умолчанию.

Спасибо, что сообщили нам об этом!

Расскажите, почему!

Другой Недостаточно подробностей Сложно понять

В чем разница между FTP и SFTP?

FTP, FTP / S и SFTP - общие сокращения, но знаете ли вы, что между ними есть некоторые существенные различия? Примечательно, что FTP в его базовой форме небезопасен.FTP / S повышает безопасность, поскольку позволяет защитить весь сеанс или его часть (за счет скорости). SFTP - это совершенно другой протокол (несмотря на похожую аббревиатуру), который изначально безопасен и более эффективен.

FTP (протокол передачи файлов)

FTP - это хорошо зарекомендовавший себя протокол, разработанный в 1970-х годах для того, чтобы два компьютера могли передавать данные через Интернет. Один компьютер действует как сервер для хранения информации, а другой действует как клиент для отправки или запроса файлов с сервера.Протокол FTP обычно использует порт 21 в качестве основного средства связи. FTP-сервер будет прослушивать клиентские подключения через порт 21.

FTP-клиенты затем подключатся к FTP-серверу через порт 21 и начнут диалог. Это основное соединение называется управляющим соединением или командным соединением . FTP-клиент обычно аутентифицируется на FTP-сервере, отправляя имя пользователя и пароль. После аутентификации клиент и сервер обычно с помощью серии синхронизированных команд, управляемых Командным соединением, согласовывают новый общий порт, называемый Data Connection , через который будет передаваться файл. Управляющее соединение остается свободным до конца этого обмена, когда оно сообщает, что передача файла либо не удалась, либо была успешно завершена. Разговор между клиентом и сервером осуществляется в виде обычного текста - все сообщения между двумя сторонами передаются без защиты, дословно, через Интернет. Это делает FTP очень небезопасным; для третьей стороны, такой как злоумышленник-посредник (MITMA), не составит особого труда украсть учетные данные пользователей.

Есть исключение из этого правила, называемое одноразовым паролем (OTP), в котором сервер отправляет серию цифр клиентскому серверу в ответ на получение команды USER.Клиент захватывает эти цифры, и, используя заранее известный алгоритм, такой как ROT13 или MD5, клиент сгенерирует хэш своего пароля вместе с серией цифр для создания уникального пароля (используется один раз, отсюда и OTP). Клиент представляет этот хеш серверу, который принимает пароль пользователя, уже сохраненный на сервере, и использует те же цифры. Если хэши пароля совпадают, они аутентифицируются. Это несколько более безопасно, потому что пароль пользователя не передается по сети - только хэш пароля пользователя, поэтому MITMA обычно не может реконструировать пароль из хеша.

Потребность в соединении для передачи данных и присущие ему лазейки в безопасности являются серьезной проблемой при использовании Интернета сегодня. FTP традиционно требует, чтобы блок портов оставался открытым либо на брандмауэре сервера, либо на брандмауэре клиента, чтобы облегчить создание соединений данных. По соображениям безопасности компании ограничивают количество портов в своих общедоступных межсетевых экранах и ищут альтернативные решения, чтобы держать порты закрытыми и обеспечивать безопасность информации.

FTP / S (протокол передачи файлов по уровням защищенных сокетов)

Наряду с передачей файлов клиенты обычно запрашивают информацию о каталоге с FTP-сервера.Формат информации в каталогах часто является примитивным по сегодняшним стандартам, и поэтому FTP-клиент иногда может получить только подмножество атрибутов или свойств файлов, доступных на сервере (например, дату последнего изменения файла. , но не дату создания файла).

Хотя общий протокол FTP небезопасен, с годами были добавлены расширения, позволяющие обеспечить безопасность FTP-разговоров, а именно отраслевой стандарт 2048-битной безопасности транспортного уровня (TLS), наиболее обновленную версию старого 1024-битного стандартного SSL. .FTP через SSL (широко известный как FTP / S) позволяет шифровать как управляющие соединения, так и соединения данных, одновременно или независимо. Это важно, потому что согласование SSL-соединения занимает много времени, и необходимость делать это дважды - один раз для соединения данных и один раз для соединения управления - может быть дорогостоящим, если клиент планирует передать большое количество небольших файлов.

FTP / S обычно работает на порту 990, а иногда и на порту 21, основное отличие состоит в том, что порт 990 - это неявный FTP / S , а порт 21 - это явный FTP / S .Если клиент подключается к серверу FTP / S через порт 990, предполагается, что клиент намеревается использовать SSL. Следовательно, квитирование SSL происходит немедленно; он называется неявным, потому что номер порта подразумевает безопасность. FTP-клиенты, которые подключаются к порту 21 и намереваются использовать SSL для обеспечения безопасности, должны будут сделать дополнительный шаг, чтобы явно заявить о своих намерениях, отправив на сервер команду AUTH SSL или AUTH TLS . Как только сервер получает эту команду, обе стороны выполняют квитирование SSL и входят в безопасное состояние, поэтому порт 21 называется явным.Это дает клиенту возможность активировать повышенную безопасность при необходимости или ускорить процесс передачи файлов, менее чувствительных к безопасности.

SFTP (протокол безопасной передачи файлов)

SFTP (протокол безопасной передачи файлов) - относительно новый протокол, разработанный в 1990-х годах, который позволяет передавать файлы и другие данные через соединение, которое ранее было защищено с помощью Secure Shell. (SSH) протокол. Хотя оба протокола похожи на FTP / S в том, что оба протокола обмениваются данными через безопасное соединение, на этом сходство в основном заканчивается.

В отличие от FTP, протокол SFTP является пакетным, а не текстовым. Если FTP может отправить такую ​​команду, как «DELE file.txt», SFTP отправит двоичный 0xBC, а затем «file.txt». Ключевое отличие состоит в том, что при отправке меньшего количества данных протокол SFTP работает быстрее в долгосрочной перспективе, поскольку меньше данных передается по проводам.

Еще одно отличие состоит в том, что с SFTP передача файлов выполняется в режиме реального времени по основному управляющему соединению, что устраняет необходимость открывать отдельное соединение данных для передачи.Это дает много преимуществ. Во-первых, при повторном использовании основного соединения никакие другие соединения не открываются между клиентом и сервером, что приводит к единому безопасному и эффективному соединению через брандмауэры.

Поскольку SFTP работает через SSH, он изначально безопасен. Не существует незащищенной версии - шифрование не может быть запущено или отключено с помощью команд AUTH, как в FTP / S. Это плюс для системных администраторов, которые пытаются обеспечить соблюдение корпоративных политик безопасности.

Еще одно отличие состоит в том, что большинство версий программного обеспечения SFTP-сервера могут предоставлять гораздо более богатый и подробный набор данных о файлах, таких как разрешения, дата, время, размер и другая информация, обычно недоступная для FTP, спасибо к более надежному протоколу запросов SFTP.

Это неотъемлемые различия между FTP, SFTP и FTP / S. Titan FTP Server Enterprise Edition поддерживает как FTP, так и SFTP.

Готовы попробовать FTP-сервер Titan?

Как проверить, не заблокирован ли FTP-порт 21

Возникли проблемы с подключением к учетной записи FTP? В таком случае стоит проверить, не является ли порт 21 причиной сбоя соединения. В этом руководстве мы покажем вам, как проверить, открыт ли 21 порт FTP.

Как проверить, открыт ли порт 21?

Прежде чем мы начнем, этому руководству потребуется доступ к вашей системной консоли. Вы можете найти больше информации о том, как получить доступ к системной консоли в Windows, Linux и macOS, в этой статье.

Вот как проверить, нет ли блокировки на FTP-порту 21:

  1. Откройте системную консоль и введите следующую строку. Обязательно измените доменное имя соответствующим образом. Эта же команда применима ко всем операционным системам.
     telnet vashdomen.com 21 
  2. Если FTP-порт 21 не заблокирован, появится ответ 220 . Обратите внимание, что это сообщение может отличаться:
     220 FTP-сервер готов. 
  3. Если ответ 220 не появляется, это означает, что FTP-порт 21 заблокирован. В этом случае мы рекомендуем вам обратиться к своему интернет-провайдеру, чтобы открыть порт.

Включение клиента Telnet

Поскольку мы используем команду Telnet для проверки соединения, вам необходимо убедиться, что в вашей операционной системе включен Telnet Client .

Telnet - это протокол клиент-сервер, обеспечивающий удаленное управление компьютерами. В этом случае это поможет нам проверить подключение к порту 21 FTP. В этом примере мы покажем, как включить клиент Telnet в Windows:

  1. Нажмите одновременно клавиши Window + R , затем введите control , чтобы открыть панель управления .
  2. Перейдите к Программы -> Программы и компоненты. На левой панели выберите Включить или выключить функции Windows.
  3. В новом диалоговом окне установите флажок Telnet Client и нажмите OK .

Что такое FTP-порт 21?

FTP - это интернет-протокол, который позволяет компьютерам в сети массово обмениваться файлами. Для правильной работы FTP должен использовать два порта - порт 21, для управления и контроля и порт 20, для передачи данных. Клиент FTP не может выполнить протокол, если ему не удается подключиться к портам FTP.

К сожалению, некоторые маршрутизаторы и брандмауэры блокируют этот порт, потому что хакеры часто атакуют FTP-серверы через порт 21.

Если у вас возникла проблема с FTP-соединением, важно проверить, не заблокирован ли порт 21.

Заключение

Некоторые маршрутизаторы и брандмауэры блокируют FTP-порт 21 из соображений безопасности, поэтому очень важно проверить соединение порта перед выполнением протокола передачи файлов. Вы можете найти больше информации о FTP здесь.

Мы надеемся, что это руководство было для вас полезным. Если у вас есть еще вопросы, не стесняйтесь оставлять комментарии ниже.

Эдгарас - ветеран-администратор серверов в Hostinger. Он следит за тем, чтобы каждый сервер работал на полную мощность и имел все последние технологические достижения. Когда он не работает, Эдгарас любит кататься на лыжах и исследовать мир.

UDP 21 - Информация о протоколе порта и предупреждение!

Ищете информацию о протоколе UDP 21 ? На этой странице будет предпринята попытка предоставить вам как можно больше информации о порте UDP-порта 21.

Порт 21 UDP может использовать определенный протокол для связи в зависимости от приложения. Протокол - это набор формализованных правил, объясняющих, как данные передаются по сети. Думайте об этом как о языке, на котором говорят между компьютерами, чтобы помочь им общаться более эффективно.

Протокол

HTTP, например, определяет формат связи между интернет-браузерами и веб-сайтами. Другой пример - протокол IMAP, который определяет связь между почтовыми серверами IMAP и клиентами, или, наконец, протокол SSL, который устанавливает формат, используемый для зашифрованной связи.

UDP-порт 21

Вот что мы знаем о протоколе UDP Port 21 . Если у вас есть информация о UDP-порту 21, которая не отражена на этой странице, просто оставьте комментарий, и мы обновим нашу информацию.

ПОРТ 21 - Информация

Дополнительное примечание: порт 21 UDP использует протокол дейтаграмм, протокол связи для сетевого уровня Интернета, транспортного уровня и уровня сеанса. Этот протокол при использовании через ПОРТ 21 делает возможной передачу сообщения дейтаграммы с одного компьютера в приложение, работающее на другом компьютере.Подобно TCP (протокол управления передачей), UDP используется с IP (Интернет-протоколом), но в отличие от TCP на порту 21, порт 21 UDP не требует установления соединения и не гарантирует надежной связи; Приложение, получившее сообщение через порт 21, должно обработать любые ошибки и проверить правильность доставки.

Поскольку порт 21 протокола UDP был помечен как вирус (красный цвет), это не означает, что вирус использует порт 21, но то, что троянец или вирус использовали этот порт в прошлом для связи.

UDP 21 - Заявление об ограничении ответственности

Мы делаем все возможное, чтобы предоставить вам точную информацию о PORT 21 и прилагаем все усилия, чтобы поддерживать нашу базу данных в актуальном состоянии. Это бесплатный сервис, точность которого не гарантируется. Мы делаем все возможное, чтобы исправить любые ошибки, и приветствуем отзывы!

Что такое подключение через порт FTP?

Что такое порт FTP?

FTP, или протокол передачи файлов, позволяет пользователям обмениваться файлами между своими персональными компьютерами и удаленными серверами с помощью специализированных программных инструментов, называемых FTP-клиентами. С помощью программных средств FTP пользователи могут устанавливать соединения с удаленным компьютером по своему выбору и выполнять любую необходимую передачу данных. FTP-соединения выполняются через определенные порты, которые являются либо портами TCP по умолчанию, либо настраиваемыми портами, установленными администратором.

Выполнение подключения к порту FTP через клиента - это двухэтапный процесс, требующий использования двух разных портов. Как только пользователь вводит имя сервера и учетные данные для входа в систему в полях авторизации FTP-клиента, устанавливается FTP-соединение и открывается порт управления FTP-сервером (порт по умолчанию для отправки команд - 21).Затем клиент устанавливает второе соединение с сервером, за которым следует ответ FTP-сервера от порта для отправки данных (порт отправки данных по умолчанию - 20), когда фактически начинается реальная передача файла.

Устранение проблем с заблокированным FTP-портом

Как мы уже упоминали, командным портом по умолчанию для FTP-соединений является порт 21, поэтому важно проверить, не блокирует ли ваш интернет-провайдер доступ к этому порту. Чтобы проверить, не блокирует ли ваш маршрутизатор или интернет-провайдер порт 21, вы должны использовать telnet.В зависимости от вашей ОС вы можете открыть терминал (Linux, OSX) или командную строку (Windows XP, Vista, Windows7) и ввести следующую строку.

Пример команды telnet для проверки FTP-порта 21

telnet my-best-domain.net 21

Если соединение успешно открыто, результат должен быть аналогичным.

Результаты проверки 21 порта

telnet my-best-domain.net 21

Попытка 192.128.34.174 ...

Подключен к my-best-domain.net.

220 ProFTPD 1.2.10 Сервер (my-best-domain.net) [192.128.34.174]

Если вы не устанавливали FTP-соединение с помощью telnet, вам следует проверить программное обеспечение брандмауэра и добавить FTP-клиент в список исключений / белый список программ, которые могут открывать порты. Если ваш FTP-порт уже указан в этом списке и вы не можете открыть FTP-соединение с помощью telnet, обратитесь к своему интернет-провайдеру и попросите его открыть порт 21.

Если вы подключаетесь к FTP-серверу с помощью telnet, но у вас возникают проблемы с установлением FTP-соединения с помощью программного обеспечения FTP, выполните следующие действия:

  • проверить данные учетной записи FTP на наличие ошибок
  • проверьте настройки подключения FTP-клиента
  • отключить одновременную передачу по FTP
  • установить минимально допустимое количество FTP-подключений

Если все эти советы не позволяют подключиться к серверу, попробуйте установить FTP-клиент в пассивный режим.

FTP-соединения в активном и пассивном режимах

В чем разница между активным и пассивным FTP-соединением и как они работают, - это один из наиболее часто задаваемых вопросов. Хорошо иметь FTP-хост, который обеспечивает поддержку обоих, потому что бывают случаи, когда один работает, а другой отказывает в соединении. Такие случаи происходят из-за неправильно настроенных межсетевых экранов и маршрутизаторов на стороне клиента или в сети интернет-провайдера клиента.

Итак, в чем разница между активным и пассивным режимами FTP-подключений? - И ответ в соединениях порта FTP.FTP - это служба TCP, использующая 2 порта. Первый порт FTP - это «командный порт», который использует связь между FTP-сервером и FTP-клиентом. Второй порт - это порт передачи данных, через который выполняется реальная передача файлов. Обычно командный порт установлен на порт 21, а порт передачи данных - на порт 20, но на самом деле, в зависимости от режима соединения, порт передачи данных может быть изменен.

Активный режим подключения

Когда вы пытаетесь установить FTP-соединение в активном режиме, сначала вам необходимо проверить настройки программного обеспечения FTP, включен ли «Активный режим».В наиболее популярных бесплатных FTP-программах активный режим включен по умолчанию. Если отключено, включите его и продолжайте заполнять данные своей учетной записи FTP.

Посмотрите на журнал подключений ниже, чтобы увидеть, как происходит подключение. Вы заметите, что клиент отправляет команду PORT, которая содержит динамический номер порта, на котором он прослушивает поток управления и ожидает подключения от FTP-сервера. Когда FTP-сервер инициирует соединение для передачи данных с FTP-клиентом, он связывает исходный порт с портом 20 на FTP-сервере.

Пример журнала FTP-подключений в активном режиме

Статус: разрешение адреса my-best-domain.net
Статус: подключение к 66.40.34.171:21 ...
Статус: соединение установлено, ожидается приветственное сообщение ...
Ответ: 220 ProFTPD 1.2.10 Server (sc109. info) [66.40.34.171]
Команда: USER demomovie
Ответ: 331 Требуется пароль для работы demomovie.
Команда: PASS *****
Ответ: 230 Пользователь демоверсии вошел в систему.
Команда: SYST
Ответ: 215 UNIX Тип: L8
Команда: FEAT
Ответ: 211-Features:
Ответ: 211-MDTM
Ответ: 211-REST STREAM
Ответ: 211-SIZE
Ответ: 211 Конец
Статус: Подключено
Статус: получение списка каталогов . ..
Команда: PWD
Ответ: 257 «/» - текущий каталог.
Команда: TYPE I
Ответ: 200 Тип установлен на I
Команда: PORT 10,1,242,250,180,46
Ответ: 200 Команда PORT выполнена успешно
Команда: LIST
Ответ: 150 Открытие соединения данных в режиме ASCII для списка файлов
Ответ: 226 Передача полный.
Статус: внесение в каталог успешно

Но давайте объясним вещи поподробнее. Сначала клиент открывает случайный динамический порт, например порт 1025, и подключается к порту 21 сервера. Затем клиент открывает порт данных (командный порт + 1 = 1026) и отправляет команду PORT на FTP-сервер. Затем сервер снова подключается к порту данных клиента 1026, используя свой локальный порт данных 20, и начинает передачу.

Подключение в пассивном режиме

FTP-соединения в пассивном режиме предназначены для решения проблем с брандмауэрами и маршрутизаторами, которые не позволяли установить активное соединение.

Если вы не можете подключиться к серверу в активном режиме, вам необходимо включить опцию «Принудительный пассивный режим» вашего FTP-клиента. Затем клиент инициирует оба подключения к серверу, что может решить проблему, даже если есть некоторые ограничения, налагаемые сетью вашего интернет-провайдера или вашим персональным брандмауэром.

Посмотрим, как работает пассивный режим. Сначала FTP-клиент открывает два динамических порта - командный порт (например, порт 1025) и порт передачи данных (командный порт +1 = порт 1026).Затем клиент подключает свой командный порт к порту 21 на сервере, но вместо использования команды PORT он отправляет команду PASV, которая сообщает серверу, что соединение установлено в пассивном режиме. Когда он читает команду PASV, сервер открывает случайный динамический порт (например, 1027), который перенаправляется на порт 20 (порт передачи данных сервера по умолчанию), и отправляет его обратно клиенту. Затем FTP-клиент инициирует соединение со своего порта данных (порт 1026) с портом данных сервера (порт 1027) и начинает передачу данных.

Этот режим - отличный метод решения проблем с брандмауэрами, фильтрующими входящий порт данных, соединяющийся с клиентом с сервера. Проверим, как выглядит журнал подключений:

Пример журнала FTP-подключения в пассивном режиме

Статус: разрешение адреса my-best-domain.net
Статус: подключение к 66.40.34.171:21 ...
Статус: соединение установлено, ожидается приветственное сообщение ...
Ответ: 220 ProFTPD 1.2.10 Сервер (sc109.info) [66.40.34.171]
Команда: USER demo
Ответ: 331 Требуется пароль для демоверсии.
Команда: PASS **********
Ответ: 230 Пользователь вошел в демоверсию.
Команда: SYST
Ответ: 215 Тип UNIX: L8
Команда: FEAT
Ответ: 211-Функции:
Ответ: 211 -MDTM
Ответ: 211-REST STREAM
Ответ: 211-SIZE
Ответ: 211 Конец
Статус: Подключено
Статус: Получение списка каталогов...
Команда: PWD
Ответ: 257 "/" - текущий каталог.
Команда: TYPE I
Ответ: 200 Тип установлен на I
Команда: PASV
Ответ: 227 Переход в пассивный режим (66,40,34,171,137,225).
Команда: LIST
Ответ: 150 Открытие соединения данных в режиме ASCII для списка файлов
Ответ: 226 Передача завершена.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *