У меня есть компьютер с Windows 7, на котором работает сервер FileZilla. Я читал свои журналы некоторое время назад, и принял к сведению странный отрывок, который я не понимаю.

199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 220 PlayNice in the SandBox
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> USER anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 331 Password required for anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> PASS **********
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 530 Login or password incorrect!
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> help
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214-The following commands are recognized:
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    ABOR   ADAT   ALLO   APPE   AUTH   CDUP   CLNT   CWD 
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    DELE   EPRT   EPSV   FEAT   HASH   HELP   LIST   MDTM
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    MFMT   MKD    MLSD   MLST   MODE   NLST   NOOP   NOP 
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    OPTS   P@SW   PASS   PASV   PBSZ   PORT   PROT   PWD 
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    QUIT   REST   RETR   RMD    RNFR   RNTO   SITE   SIZE
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    STOR   STRU   SYST   TYPE   USER   XCUP   XCWD   XMKD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    XPWD   XRMD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214 Have a nice day.

Без входа кто-нибудь смог получить список доступных команд?

Это нормально?
Должен ли я быть обеспокоен?
Это предотвратимо?

Помимо запрета всей подсети, что я должен делать?

2 ответа2

3

Да, это совершенно нормально. Протокол не требует аутентификации в первую очередь. даже анонимная аутентификация не требуется. На самом деле большинство FTP-серверов предназначены только для обслуживания файлов. Вы не должны рассматривать это как недостаток безопасности. Вы можете попробовать это на любом ftp-сервере. Я не думаю, что это можно предотвратить.

0

Есть команды, которые вам нужно использовать даже перед аутентификацией, и вам может потребоваться помощь с ними.

Очевидно, USER , PASS и AUTH (для TLS).

Но, например, также HOST (RFC 7151). Какой сервер FileZilla не поддерживает, хотя.

Даже если вы используете FTP-клиент с графическим интерфейсом, так что вам не нужна помощь, клиенту может понадобиться узнать, какие команды поддерживает сервер. Это особенно верно для команды HOST . Когда сервер поддерживает HOST , клиент должен отправить эту команду перед USER .

Обратите внимание, что FTP-клиент GUI будет использовать FEAT , а не HELP , но последствия будут одинаковыми.

Может случиться так, что сервер решит не перечислять команды в ответе HELP или FEAT , которые не разрешены без аутентификации, до того, как вы действительно аутентифицируетесь. Но в спецификации FEAT , RFC 2389 , такая возможность не указана. Таким образом, такая реализация сервера может сломать некоторых клиентов (которые используют FEAT перед аутентификацией, ожидая полного набора команд / функций).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .