FTP站點的傳輸模式有兩種,一種是主動模式,另一種是被動模式。主動模式比較常見,它是使用服務器的21端口進行身份驗證,用20端口傳輸數據的。那麼如果修改了這兩個端口的其中之一,另外一個會自動變化嗎?
■將採用主動模式的FTP服務器進行身份驗證的端口由21改爲1000,不改變默認情況下傳輸數據的20端口,那麼傳輸數據的端口仍然是20端口。
這個說法到底正確與否,我們用事實說話。用SERV-U建立了一個FTP站點並設置爲主動模式,將默認的身份驗證端口修改爲1000,接着在網絡出口的交換機上使用訪問控制列表將服務器的21端口和20端口封鎖掉,不讓這兩個端口傳輸數據。如果服務器仍然使用修改後的1000端口進行身份驗證以及20端口傳輸數據的話,那麼客戶機登錄FTP應該能夠通過身份驗證(要求輸入用戶名和密碼),然後纔出現無法登錄的提示。
小提示:
FTP有兩種傳輸模式,主動模式和被動模式。主動模式使用的身份驗證端口是21,傳輸數據使用服務器的20端口;而被動模式則不同,它需要用戶修改連接模式以適應服務器傳輸模式。雖然使用的身份驗證端口也是服務器的21端口,但是在傳輸數據時所使用的端口是由客戶端和服務器端協商而成的,端口號也是不固定的。
我們發現結果與預期的不同,客戶機登錄FTP後身份驗證能正常通過,連接下來的數據傳輸也沒有任何問題。事實表明FTP的驗證端口與數據傳輸端口都應該沒有被封鎖,也就是說由於我們修改了默認的身份驗證21端口,因此20端口也不再是數據傳輸的端口。
按照21與20端口相差1的關係猜測將身份驗證端口修改爲1000後,數據傳輸端口也應該是1000-1=999。接着在交換機上將999端口進行封鎖,不容許任何數據包通過服務器的999端口。再次用客戶機登錄FTP服務器,身份驗證能夠通過,但FTP登錄錯誤信息馬上出現在客戶機的屏幕上。這就說明999端口才是真正的數據傳輸端口。
■如果修改了默認的身份驗證端口21爲1000的話,數據傳輸使用的默認端口也會自動的從20端口變化爲999端口。