為什么SFTP比FTP更安全

本文介紹FTP和SFTP的定義，以及搭建、登錄FTP和SFTP服務(wù)器的方法。通過wireshark軟件抓取從客戶端向服務(wù)器傳輸?shù)臏y試文件數(shù)據(jù)，模擬攻擊者在網(wǎng)絡(luò)上竊取文件，并嘗試從文件數(shù)據(jù)解析文件內(nèi)容，分析SFTP和FTP的區(qū)別。

發(fā)布時間：2022-11-23
點擊量：
點贊：

分享至

我想評論

1 概述

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，越來越多的公司和個人利用網(wǎng)絡(luò)進行文件傳輸。傳統(tǒng)FTP雖然具備高效文件傳輸功能，但因缺乏安全性，傳輸?shù)奈募菀妆痪W(wǎng)絡(luò)上的攻擊者竊取。而SFTP除了具有和FTP相同的功能外，還具備更高安全性。

本文在Windows 7環(huán)境下，分別搭建FTP和SFTP服務(wù)器，并從客戶端向服務(wù)器傳輸文件。通過wireshark軟件抓取傳輸?shù)臏y試文件，模擬攻擊者竊取文件的行為，分析SFTP和FTP的區(qū)別。從客戶端向服務(wù)器傳輸文件的網(wǎng)絡(luò)拓?fù)淙缦聢D所示。

圖1-1 文件傳輸拓?fù)鋱D

傳輸?shù)奈募?nèi)容如下圖所示。

圖1-2 文件內(nèi)容

2 什么是FTP

2.1 FTP簡介

FTP（File Transfer Protocol，文件傳輸協(xié)議）是IETF Network Working Group所制定的一套標(biāo)準(zhǔn)協(xié)議，屬于網(wǎng)絡(luò)協(xié)議組的應(yīng)用層，F(xiàn)TP基于TCP（Transmission Control Protocol，傳輸控制協(xié)議）實現(xiàn)文件傳輸。FTP是Internet傳遞文件最主要的方法。

FTP采用客戶端/服務(wù)器的模式，F(xiàn)TP服務(wù)器提供遠程客戶端的接入與程序操作。用戶可以通過客戶端向服務(wù)器發(fā)出命令，查看FTP服務(wù)器目錄下的文件，并把文件從遠程計算機上拷到本地，或把本地的文件傳送到服務(wù)器上。除此之外，F(xiàn)TP還提供登錄驗證及讀寫權(quán)限控制等功能。

2.2 搭建FTP服務(wù)器

Window 7中自帶FTP服務(wù)。搭建FTP服務(wù)器步驟如下。

(1) 開啟FTP服務(wù)。打開“控制面板”，在“打開或關(guān)閉Windows功能”中勾選“FTP服務(wù)器”和“Web管理工具”，如下圖所示。

圖2-1 開啟FTP服務(wù)

(2) 打開“控制面板”，在“系統(tǒng)和安全”中點擊“管理工具”，雙擊打開“Internet 信息服務(wù)(IIS)管理器”，如下圖所示。

圖2-2 打開Internet 信息服務(wù)(IIS)管理器

(3) 單擊右鍵，并選擇“添加FTP站點”，如下圖所示。

圖2-3 添加FTP站點

(4) 設(shè)置FTP站點信息。在“FTP站點名稱”中輸入建立的FTP站點名稱，在“物理路徑”中選擇服務(wù)器FTP站點需要共享的文件夾路徑。如下圖所示。

圖2-4 設(shè)置FTP站點信息

(5) 設(shè)置服務(wù)器IP地址。在“IP地址”中輸入服務(wù)器的IP地址。“端口”默認(rèn)設(shè)置為21。勾選“自動啟動FTP站點”，如下圖所示。

圖2-5 設(shè)置服務(wù)器IP地址

(6) 設(shè)置身份驗證和授權(quán)信息。根據(jù)需求可選擇允許訪問的用戶，以及選擇是否允許讀取、寫入操作。如下圖所示。至此完成FTP服務(wù)器搭建。

圖2-6 設(shè)置身份驗證和授權(quán)信息

2.3 登錄FTP服務(wù)器

使用WinSCP作為客戶端登錄FTP服務(wù)器。下載并安裝WinSCP.exe。安裝完成后，打開軟件并進行如下圖設(shè)置登錄FTP服務(wù)器。

圖2-7 使用WinSCP登錄FTP服務(wù)器

2.4 FTP文件傳輸

(1) 傳輸文件。成功登錄FTP服務(wù)器后，從客戶端向服務(wù)器傳輸測試文件，同時使用wireshark軟件抓包模擬攻擊者竊取測試文件。如下圖所示，紅框中十六進制內(nèi)容即為竊取的文件數(shù)據(jù)。

圖2-8 模擬攻擊者竊取文件數(shù)據(jù)

(2) 轉(zhuǎn)換數(shù)據(jù)流。

a 選中“FTP Data”后，單擊右鍵，在彈出的窗口中選擇“Follow”，并選擇“TCP Stream”。如下圖所示。

圖2-9 轉(zhuǎn)換數(shù)據(jù)流

b 在彈出的“TCP Stream”窗口中，"Show data as"選擇"Raw"，并另存為（Save as）一個文件。

說明

“Raw”表示轉(zhuǎn)換為原始數(shù)據(jù)流。

圖2-10 保存轉(zhuǎn)換文件

c 用Notepad++軟件打開上一步另存的文件，即可看到文件內(nèi)容。如下圖所示。

圖2-11 獲取文件內(nèi)容

3 什么是SFTP

3.1 SFTP簡介

SSH（Secure Shell，安全外殼）是一個需要進行加密和認(rèn)證的，用于遠程訪問及文件傳輸?shù)木W(wǎng)絡(luò)安全協(xié)議。SSH基于加密和認(rèn)證的特性可以為用戶提供更強大的安全保障機制，在用戶使用不安全的網(wǎng)絡(luò)環(huán)境登錄設(shè)備時，SSH能夠有效保護設(shè)備不受IP地址欺詐、明文密碼截取等攻擊。

SFTP（SSH File Transfer Protocol，也稱為Secret File Transfer Protocol，安全文件傳輸協(xié)議）基于SSH，能夠為文件傳輸提供安全的加密通道。SFTP具備和FTP一樣的功能，即用戶可以通過客戶端向服務(wù)器發(fā)出命令，查看SFTP服務(wù)器目錄下的文件，并把文件從遠程計算機上拷到本地，或把本地的文件傳送到SFTP服務(wù)器上。

3.2 搭建SFTP服務(wù)器

(1) 在Window 7中，使用freeSSHd軟件搭建SFTP服務(wù)器。需要下載并安裝freeSSHd.exe。安裝完成后，打開軟件的設(shè)置界面，如下圖所示。

圖3-1 freeSSHd設(shè)置界面

(2) 點擊"SSH"選項卡，在“Listen address”中設(shè)置SFTP服務(wù)器地址，在“Port”中設(shè)置SFTP端口號，默認(rèn)為22，在“Max number of connections”中設(shè)置最大連接次數(shù)為10，最后勾選“Start SSH server on freeSShd startup”和“User new console engine”。如下圖所示。

圖3-2 設(shè)置SFTP服務(wù)器地址和端口號

(3) 點擊"Authentication"選項卡，選擇用密碼認(rèn)證（Password authentication）方式，而不是公鑰認(rèn)證（Public key authentication）方式。如下圖所示。

圖3-3 設(shè)置SFTP登錄驗證方式

(4) 點擊"Users"選項卡，再點擊"Add"按鈕，彈出“User Properties”窗口。在“Login”中輸入登錄Windows服務(wù)器的用戶名，在“Authorization”中選擇使用Windows賬戶密碼登錄。如下圖所示。

圖3-4 添加SFTP用戶

(5) 點擊"Server status"選項卡，開啟SSH服務(wù)器。如下圖所示。至此完成SFTP服務(wù)器搭建。

圖3-5 開啟SSH服務(wù)器

3.3 登錄SFTP服務(wù)器

使用WinSCP作為客戶端登錄SFTP服務(wù)器。下載并安裝WinSCP.exe。安裝完成后，打開軟件并進行如下圖設(shè)置登錄SFTP服務(wù)器。

圖3-6 使用WinSCP登錄SFTP服務(wù)器

3.4 SFTP文件傳輸

(1) 傳輸文件。成功登錄SFTP服務(wù)器后，從客戶端向服務(wù)器傳輸測試文件，同時使用wireshark軟件抓包模擬攻擊者竊取測試文件。如下圖所示，紅框中十六進制內(nèi)容即為竊取的文件數(shù)據(jù)。

圖3-7 模擬攻擊者竊取文件數(shù)據(jù)

(2) 轉(zhuǎn)換數(shù)據(jù)流。如果按照FTP轉(zhuǎn)換數(shù)據(jù)流的操作，得到的文件內(nèi)容如下所示。可見雖然在網(wǎng)絡(luò)上竊取了文件數(shù)據(jù)，但是無法獲得文件內(nèi)容。

圖3-8 獲取文件內(nèi)容

4 SFTP和FTP的區(qū)別

通過FTP文件傳輸和SFTP文件傳輸?shù)牟僮鞣治觯琒FTP和FTP的區(qū)別如下：

●協(xié)議不同。

FTP基于TCP/IP協(xié)議，使用TCP端口21建立控制通道，使用TCP端口20建立數(shù)據(jù)通道。SFTP基于SSH協(xié)議（使用TCP端口22建立安全通道）。

●安全性不同。

FTP沒有安全通道傳輸數(shù)據(jù)，SFTP使用SSH建立的加密安全通道傳輸數(shù)據(jù)。FTP采用明文傳輸，攻擊者只要在網(wǎng)絡(luò)上竊取到文件數(shù)據(jù)，就能輕而易舉地得到文件內(nèi)容。SFTP采用加密傳輸，攻擊者雖然竊取到文件數(shù)據(jù)，只要不知道加密密鑰，也無法得到文件內(nèi)容。這也是SFTP比FTP更安全的原因。

●傳輸效率不同。

SFTP在傳輸過程中需要加密和解密，傳輸效率不如FTP。

5 結(jié)語

從SFTP和FTP的區(qū)別可以看出，SFTP是在加密通道中傳輸文件，安全性比FTP高，適合在公網(wǎng)中傳輸私有信息。FTP雖然安全性不及SFTP，但FTP不需要加密和解密，傳輸效率比SFTP高，適合公司內(nèi)部文件的快速傳輸，可以根據(jù)需要選擇不同的文件傳輸方式。

相關(guān)標(biāo)簽：