我们知道默认情况下FTP站点信息是用明文进行传输的，没有进行任何的加密。也就是说当用户登录FTP站点输入用户名和密码时，这些信息是没有加密的。非法用户可以通过sniffer等工具将这些信息还原成本来面目。下面我们做个检测，通过sniffer将FTP站点的用户名和密码还原成明文。

　　测试环境：

　　企业网络中A、B两台计算机通过交换机相互连接到同一个子网，B是员工计算机，一名员工通过他访问公司的FTP服务器，登录FTP时使用自己的用户名和密码。A是我们安装了sniffer的计算机，通过sniffer我们可以监测出使用B计算机的员工访问FTP服务器的用户名和密码。

　　测试过程：

　　第一步首先在A计算机上安装sniffer嗅探工具，并启动该程序。在sniffer软件中通过上方的“matrix”(矩阵)按钮启动监测界面，打开监测界面后我们就可以开始监测网络中的数据包了。通过菜单栏的“capture(捕获)→start(开始)”启动。在检测数据包窗口中我们点左下角的objects(对象)标签，然后选择station(状态)，这样将把当前网络中所有通信都显示在窗口中。(图1)

　　第二步：这时候我们通知B计算机的员工使用电脑登录了FTP服务器，那么我们在sniffer中点菜单的“capture(捕获)→stop and display(停止并显示)”。这里假设我们FTP服务器的IP地址为192.168.1.20，那么我们从显示的地址列表中找到关于192.168.1.20这个IP的数据包，然后点下方的“DECODE(反解码)”按钮进行数据包再分析。(图2)

　　第三步：在“DECODE”(反编码)界面中我们就可以对关于192.168.1.20的所有数据包进行分析了。我们一个一个的分析数据包，分析到大概第十九个数据包时出现用户名信息，我们可以从界面中看到用户名为lw。继续往下看，到了第二十一个数据包的时候就可以看到密码了，密码以明文的形式显示在sniffer中，密码为test168。(图3)

　　至此我们就通过sniffer工具将员工在FTP服务器上的用户名和密码嗅探出来，该方法在员工和安装了sniffer的计算机处在同一个子网的情况下有效。

　　二、加密FTP站点信息的传输

　　既然知道了FTP服务器是以明文方式传输数据的，特别是用户名和密码传输的安全性极差，信息很容易被盗。虽然FTP提供了SSL加密的功能，不过默认情况下是没有启用的，如大家常用的Serv-U FTP服务器(简称Serv-U)。所以说为了保证传输的数据信息不被随意窃取，有必要启用SSL功能，提高服务器数据传输的安全性。我们以Serv-u为例进行介绍来弥补这个安全缺陷。

　　相关知识：什么是SSL加密协议?SSL协议(Secure Socket Layer，安全套接层)是由网景(Netscape)公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。所以使用SSL协议后我们就可以保证网络中传输的数据不被非法用户窃取到了。

　　(1)安装Serv-U服务器

　　安装Serv-U非常简单，所以本文就不详细介绍了。安装完毕后我们要建立一个FTP服务器的域并设置相应的用户名和密码。(图4)

　　(2)创建SSL证书

　　要想使用Serv-U的SSL功能，需要SSL证书的支持才行。虽然Serv-U在安装之时就已经自动生成了一个SSL证书，但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的，非常不安全，所以我们需要手工创建一个自己独特的SSL证书。

　　第一步：在“Serv-U管理员”窗口中，展开“本地服务器→设置”选项，然后切换到“SSL证书”标签页。

　　第二步：创建一个新的SSL证书。首先在“普通名称”栏中输入FTP服务器的IP地址，接着其它栏目的内容，如电子邮件、组织和单位等，根据用户的情况进行填写。(图5)

　　第三步：完成SSL证书标签页中所有内容的填写后，点击下方的“应用”按钮即可，这时Serv-U就会生成一个新的SSL证书。

• 上一篇:有关FTP服务器安全设置一则
• 下一篇:详解SERV-U的配置文件