通过解读数据包内容对FTP协议的分析

蒦嗳伱

　　准备好两台局域网内的电脑，一台配置为FTP服务器，另一台进行登录，并使用Wireshark抓包。
　　此时两台电脑的基本状态为：两台电脑（Win7系统）直接通过网线相连，其中FTP服务器的IP设为192.168.1.1，客户端的IP为192.168.1.2。FTP工具为Filezilla（由xampp附带）。

　　抓取的包相当杂乱，于是使用过滤器（Filter）对其进行过滤。

　　当过滤出这些FTP包后猛地一惊，大片的黑底红字，即Bad TCP。相应显示的错误信息为“Header checksum：0x0000 [incorrect, should be 0xb2d1 (maybe cause by 'IP Checksum Offload'?)]”。网上搜索后才知道，其实，这是由于网卡中关于“硬件校验和(Offload checksum)”的选项所致。

　　我的电脑中该项值为“Rx & Tx 开启”，即Windows的传输层将随机填充TCP校验和，因此在本机上抓取的数据包是Bad CheckSum。但网卡会自动计算正确的校验码然后发送，因此对方收到的仍然是正确的TCP包。
　　    下面对FTP包做简要分析：
　　   
　　上图是前几个FTP包。具体的“对话内容”有：
　　[客户端通过浏览器访问FTP服务器]
　　服务器(S)：220（服务就绪，执行新用户请求），并发送了一个欢迎页面。
　　客户端(C)：USER anonymous。
　　S：331（用户名正确，需要密码）。
　　C：PASS chrome@example.com。
　　S：530（未登录），not log in, user account has been disabled（账户无效）。
　　C：quit（退出）。
　　以上内容应该为浏览器自动执行，以试图以匿名用户身份登录服务器，但我在FTP服务期设置时Disabled掉了用户anonymous的使用权，所以登录失效了。浏览器出现了登录的对话框。
　　S：220（服务就绪，执行新用户请求），并发送了一个欢迎页面。
　　C：USER test。
　　S：331（用户名正确，需要密码）。
　　C：PASS test。
　　S：230（用户已登录，继续进行。），log on。
　　C：SYST（获取FTP服务器的操作系统）。
　　S：215（回复系统类型），UNIX emulated by Filezilla（由Filezilla仿真了一个Unix的系统）。
　　C：PWD（获取当前目录）。
　　S：257（创建pathname），返回了“/”根目录。
　　C：TYPE I（设置二进制流数据传输。TYPE A为ASCII码，默认。）。
　　S：200（确定命令）， Type set to I。
　　C：EPSV（针对IPV6的被动模式。IPV4的主、被动模式分别为PORT、PASV，IPV6分别为EPRT、EPSV。）。
　　S：229，Entering Extended Passive Mode（这是一个报错，在DOS环境下需Ctrl+C然后键入EPSV4 OFF，但浏览器下未进行操作）。
　　C：SIZE /...（获取服务器上相应文件的大小）。
　　S：213（文件状态），...。
　　C：CWD /...（更换文件目录，Change working directory）。
　　S：550（请求拒绝），CWD Failed（这里是因为上面我选中的是exe文件，仍处于根目录中，不能进行更换路径操作）。
　　C：RETR /...（文件传输，File Transfer）。
　　S：150（文件状态正常，准备打开数据连接），Connection accept。
　　[数据传输]
　　S：226（关闭数据连接，请求操作成功），Transfer OK。
　　C：quit。
　　S：221（关闭控制连接），Goodbye。
　　以上便是通过抓包，对一次FTP服务器访问过程的解读。接下来，我将着手整理出FTP的状态码和命令。