FTP是早期互联网协议(注：IP协议组)中的一个，FTP协议是设计用在当时还比较封闭的互联网

上传输文件，当时互联网只是互连了一些大学、政府机构和设计该互联网模型的一些商业公司

。FTP在当今网络上，特别是在安全问题比较严重的网络上（如互联网Internet）的行为模式

是有一些问题的，本白皮书也提供了一些理论背景知识，这些知识可以帮助你在一个有防火墙

或者使用NAT的网络上正确实施FTP。

FTP协议早在Client/Server（C/S）模式流行前就已经被设计，但FTP工作模式与C/S模式十分

相似。FTP使用两个TCP连接，一个TCP连接用于控制信息（控制连接），一个TCP连接用于实际

的数据传输（数据连接）。对FTP对话的分析包括在控制连接上所发送命令的检查和在数据连

接上发送的TCP数据段(注：segment---OSI模型中对第4层数据单元的称呼)的评估。对于普通

的（活跃的）FTP，控制连接由客户端初始化，数据连接由服务器端初始化。活跃的FTP也称为

(Port模式)。另一种模式是被动模式(Passive模式)，这种模式下客户端初始化数据连接。

>>1.0<< FTP和TCP端口号

根据是使用Port模式还是Passive模式，FTP使用不同的TCP端口号，在详细描述FTP前，我们来

简单讨论一下TCP端口号的一些基本概念。TCP使用端口号来标识所发送和接收的应用，端口号

可以帮助TCP来分离字节流并且帮相应字节传递给正确的应用程序。

TCP端口号可以是半永久的和暂时的。服务器端监听在半永久的端口上来让客户端访问。客户

端使用暂时的端口在本地标识一个对话，客户端端口只在使用TCP服务时候才存在，而服务器

端口只要服务器在运行就一直在监听。

TCP端口可以归为3类：

1、众所周知的端口来标识在TCP上运行的标准服务，包括FTP、HTTP、TELNET、SMTP 等，这些

端口号码范围为0-1023；

2、注册端口号用来标识那些已经向IANA（Internet Assigned Numbers Assigned Numbers Authority）注册的应用，注册端口号为1024-49151；

3、私有端口号是非注册的并且可以动态地分配给任何应用，私有端口为49152-65535；

注册的端口号本来打算只给注册的应用使用，可近年来端口号已经陷入了到达极限的困境，你

可能会看到本来应该是给注册应用使用的注册端口被非注册应用用做暂时的端口。RFC1700

详

细标注了众所周知的和注册的端口号，然而不幸的是，这个RFC文档自从1994年以来一直没有

被更新，然后你仍可以从IANA得到一个及时更新的端口列表，详细URL为：

/assignments/port-numbers

>>2.0<< FTP Port模式和FTP Passive模式

当你对一个FTP问题进行排错时候，你首先要问的一个问题是使用的是port模式的还是passive

模式。因为这两种行为迥异，所以这两种模式引起的问题也不同；在过去，客户端缺省为acti

ve(port)模式；近来，由于Port模式的安全问题，许多客户端的FTP应用缺省为Passive模式。

>>2.1 FTP Port模式

Port模式的FTP步骤如下：

1、客户端发送一个TCP

SYN（TCP同步）包给服务器段众所周知的FTP控制端口21，客户端使用暂时的端口作为它的源

端口；

2、服务器端发送SYN

ACK（同步确认）包给客户端，源端口为21，目的端口为客户端上使用的暂时端口；

3、

客户端发送一个ACK（确认）包；客户端使用这个连接来发送FTP命令，服务器端使用这个连接

来发送FTP应答；

4、

当用户请求一个列表(List)请求或者发起一个要求发送或者接受文件的请求，客户端软件使用

PORT命令，这个命令包含了一个暂时的端口，客户端希望服务器在打开一个数据连接时候使用

这个暂时端口；PORT命令也包含了一个IP地址，这个IP地址通常是客户自己的IP地址，而且FT

P也支持第三方（third-party）模式，第三方模式是客户端告诉服务器端打开与另台主机的连

接；

5、

服务器端发送一个SYN包给客户端的暂时端口，源端口为20，暂时端口为客户端在PORT 命令中

发送给服务器端的暂时端口号；

6、客户端以源端口为暂时端口，目的端口为20发送一个SYN ACK包；

7、服务器端发送一个ACK包；

8、

发送数据的主机以这个连接来发送数据，数据以TCP段(注：segment，第4层的PDU)形式

发送（

一些命令，如STOR表示客户端要发送数据，RETR表示服务器段发送数据），这些TCP段都需要

对方进行ACK确认（注：因为TCP协议是一个面向连接的协议）

9、

当数据传输完成以后，发送数据的主机以一个FIN命令来结束数据连接，这个FIN命令需要另一

台主机以ACK确认，另一台主机也发送一个FIN命令，这个FIN命令同样需要发送数据的主机以A

CK确认；

10、

客户端能在控制连接上发送更多的命令，这可以打开和关闭另外的数据连接；有时候客户端结

束后，客户端以FIN命令来关闭一个控制连接，服务器端以ACK包来确认客户端的FIN，服务器

同样也发送它的FIN，客户端用ACK来确认。

下图图示了FTP PORT模式前几步步骤：

/====================================================================\ | |

| [ ftp Client ] [ ftp Server ] |

| |

| (TCP:21 连接初始化,控制端口) |

| SYN |

| Port xxxx ----------------------> Port 21 [TCP] |

| SYN+ACK |

| Port xxxx <---------------------- Port 21 |

| ACK |

| Port xxxx ----------------------> Port 21 |

| |

| (控制操作: 用户列目录或传输文件) |

| |

| Port, IP, Port yyyy |

| Port xxxx <---------------------- Port 21 |

| Port Seccussful |

| Port xxxx <---------------------- Port 21 |

| List, Retr or Stor |

| Port xxxx ----------------------> Port 21 |

| |

| |

| (TCP:20 连接初始化,数据端口) |

| SYN |

| Port yyyy <---------------------- Port 20 |

| SYN+ACK |