FileZilla 서버를 실행하는 Windows 7 컴퓨터가 있습니다. 나는 잠시 동안 내 통나무를 읽고 있었고, 내가 이해하지 못하는 이상한 발췌를 기록했다.
199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 220 PlayNice in the SandBox
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> USER anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 331 Password required for anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> PASS **********
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 530 Login or password incorrect!
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> help
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214-The following commands are recognized:
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> ABOR ADAT ALLO APPE AUTH CDUP CLNT CWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> DELE EPRT EPSV FEAT HASH HELP LIST MDTM
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> MFMT MKD MLSD MLST MODE NLST NOOP NOP
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> OPTS P@SW PASS PASV PBSZ PORT PROT PWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> QUIT REST RETR RMD RNFR RNTO SITE SIZE
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> STOR STRU SYST TYPE USER XCUP XCWD XMKD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> XPWD XRMD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214 Have a nice day.
로그인하지 않고 누군가 사용 가능한 명령 목록을 얻을 수 있었습니까?
그게 정상인가요?
걱정해야합니까?
예방할 수 있습니까?
전체 서브넷을 차단하는 것 외에도 어떻게해야합니까?
답변
예, 완벽하게 정상입니다. 프로토콜은 우선 인증을 강제하지 않습니다. 익명 인증도 필요하지 않습니다. 실제로 대부분의 ftp 서버는 파일을 제공하기위한 것입니다. 보안 결함으로 간주해서는 안됩니다. ftp 서버로 시도해 볼 수 있습니다. 나는 그것이 예방할 수 없다고 생각합니다.
답변
인증하기 전에 사용해야하는 명령이 있으며 도움이 필요할 수 있습니다.
분명히 USER
, PASS
및 AUTH
(TLS의 경우).
그러나 예를 들어 HOST
( RFC 7151 ). 지원하지 않는 FileZilla 서버
GUI FTP 클라이언트를 사용하더라도 도움이 필요하지 않더라도 클라이언트는 서버가 지원하는 명령을 알아야합니다. 특히 HOST
명령에 해당됩니다. 서버가 지원 HOST
하는 경우 클라이언트는 먼저 해당 명령을 보내야합니다 USER
.
GUI FTP 클라이언트는이 FEAT
아닌을 사용 HELP
하지만 결과는 동일합니다.
실제로 인증하기 전에 서버가 인증없이 허용되지 않는 명령 HELP
또는 FEAT
응답 을 나열하지 않도록 선택할 수 있습니다 . 그러나 RFC 2389FEAT
사양에는 이러한 가능성이 명시되어 있지 않습니다. 따라서 이러한 서버 구현은 일부 클라이언트 ( 인증 전에 사용 하여 전체 명령 / 기능을 기대 함) 를 중단시킬 수 있습니다 .FEAT