【FTP】详解

 FTP协议及工作原理

1. FTP协议 

什么是FTP呢？FTP 是 TCP/IP 协议组中的协议之一，是英文File Transfer Protocol的缩写。

该协议是Internet文件传送的基础，它由一系列规格说明文档组成，目标是提高文件的共享性，提供非直接使用远程计算机，使存储介质对用户透明 和可靠高效地传送数据。简单的说，FTP就是完成两台计算机之间的拷贝，从远程计算机拷贝文件至自己的计算机上，称之为“下载 （download）”文件。若将文件从自己计算机中拷贝至远程计算机上，则称之为“上载（upload）”文件。

在TCP/IP协议中， 需要两个端口，一个是数据端口，一个是控制端口。

控制端口一般为21，而数据端口不一定是20，这和FTP的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定。相比于HTTP，FTP协议要复杂得多。复杂的原因，是因为FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。

2. FTP服务器和客户端

同大多数Internet服务一样，FTP也是一个客户/服务器系统。用户通过一个客户机程序连接至在远程计算机上运行的服务器程序。依照 FTP 协议提供服务，进行文件传送的计算机就是 FTP 服务器，而连接FTP服务器，遵循FTP协议与服务器传送文件的电脑就是FTP客户端。用户要连上 FTP 服务器，就要用到 FPT 的客户端软件，通常 Windows自带“ftp”命令，这是一个命令行的 FTP 客户程序，另外常用的 FTP 客户程序还有 CuteFTP、Ws_FTP、Flashfxp、LeapFTP、流星雨-猫眼等。

3. FTP用户授权

（1）用户授权

要连上 FTP 服务器（即“登陆”），必须要有该 FTP 服务器授权的帐号，也就是说你只有在有了一个用户标识和一个口令后才能登陆FTP服务器，享受FTP服务器提供的服务。

（2）FTP地址格式

FTP地址如下： ftp://用户名：密码@FTP服务器IP或域名：FTP命令端口/路径/文件名

上面的参数除FTP服务器IP或域名为必要项外，其他都不是必须的。如以下地址都是有效FTP地址：

ftp://foolish.6600.org

ftp://list:list@foolish.6600.org

ftp://list:list@foolish.6600.org:2003

ftp://list:list@foolish.6600.org:2003/soft/list.txt

（3）匿名FTP

互连网中有很大一部分 FTP 服务器被称为“匿名”（Anonymous）FTP 服务器。这类服务器的目的是向公众提供文件拷贝服务，不要求用户事先在该服务器进行登记注册，也不用取得FTP服务器的授权。Anonymous（匿名文 件传输）能够使用户与远程主机建立连接并以匿名身份从远程主机上拷贝文件，而不必是该远程主机的注册用户。用户使用特殊的用户名“anonymous”登 陆FTP服务，就可访问远程主机上公开的文件。许多系统要求用户将Emai1地址作为口令，以便更好地对访问进行跟综。匿名FTP一直是Internet 上获取信息资源的最主要方式，在Internet成千上万的匿名FTP主机中存储着无以计数的文件，这些文件包含了各种各样的信息，数据和软件。人们只要 知道特定信息资源的主机地址，就可以用匿名FTP登录获取所需的信息资料。虽然目前使用WWW环境已取代匿名FTP成为最主要的信息查询方式，但是匿名 FTP仍是 Internet上传输分发软件的一种基本方法。如red hat 、autodesk等公司的匿名站点。

4. FTP的传输模式

FTP协议的任务是从一台计算机将文件传送到另一台计算机，它与这两台计算机所处的位置、联接的方式、甚至是是否使用相同的操作系统无关。假设两台 计算机通过ftp协议对话，并且能访问Internet，你可以用ftp命令来传输文件。每种操作系统使用上有某一些细微差别，但是每种协议基本的命令结 构是相同的。

FTP的传输有两种方式：ASCII传输模式和二进制数据传输模式。

1．ASCII传输方式：假定用户正在拷贝的文件包含的简单ASCII码文本，如果在远程机器上运行的不是UNIX，当文件传输时ftp通常会自动 地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。但是常常有这样的情况，用户正在传输的文件包含的不是文本文件，它们可能是程序， 数据库，字处理文件或者压缩文件（尽管字处理文件包含的大部分是文本，其中也包含有指示页尺寸，字库等信息的非打印符）。在拷贝任何非文本文件之前，用 binary 命令告诉ftp逐字拷贝，不要对这些文件进行处理，这也是下面要讲的二进制传输。

2．二进制传输模式：在二进制传输中，保存文件的位序，以便原始和拷贝的是逐位一一对应的。即使目的地机器上包含位序列的文件是没意义的。例 如，macintosh以二进制方式传送可执行文件到Windows系统，在对方系统上，此文件不能执行。如果你在ASCII方式下传输二进制文件，即使 不需要也仍会转译。这会使传输稍微变慢 ，也会损坏数据，使文件变得不能用。（在大多数计算机上，ASCII方式一般假设每一字符的第一有效位无意义，因为ASCII字符组合不使用它。如果你传 输二进制文件，所有的位都是重要的。）如果你知道这两台机器是同样的，则二进制方式对文本文件和数据文件都是有效的。

5. FTP的工作方式

FTP支持两种模式，一种方式叫做Standard (也就是 PORT方式，主动方式)，一种是 Passive (也就是PASV，被动方式)。 下面介绍一个这两种方式的工作原理：

主动 FTP ：
　　　　命令连接：客户端 >1024 端口 → 服务器 21 端口
　　　　数据连接：客户端 >1024 端口 ← 服务器 20 端口

　　被动 FTP ：
　　　　命令连接：客户端 >1024 端口 → 服务器 21 端口
　　　　数据连接：客户端 >1024 端口 ← 服务器 >1024 端口

　　PORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。 当需要传送数据时， 客户端在命令链路上用PORT命令告诉服务器：“我打开了***X端口，你过来连接我”。于是服务器从20端口向客户端的***X端口发送连接请求，建立 一条数据链路来传送数据。

　　PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。 当需要传送数据时， 服务器在命令链路上用PASV命令告诉客户端：“我打开了***X端口，你过来连接我”。于是客户端向服务器的***X端口发送连接请求，建立一条数据链 路来传送数据。

早先所有客户端都使用主动模式，而且工作的很好，而现在因为客户端防火墙的存在，将会关闭一些端口，这样主动模式将会失败。在这种情况下就要使用被动模式，但是一些端口也可能被服务器的防火墙封掉。不过因为ftp服务器需要它的ftp服务连接到一定数量的客户端，所以他们总是支持被动模式的。这就是我们为什么要使用被动模式的原意，为了确保数据可以正确的传输，使用被动模式要明显优于主动模式。（译者注：主动（PORT）模式建立数据传输通道是由服务器端发起的，服务器使用20端口连接客户端的某一个大于1024的 端口；在被动（PASV）模式中，数据传输的通道的建立是由FTP客户端发起的，他使用一个大于1024的端口连接服务器的1024以上的某一个端口）

主动模式传送数据时是“服务器”连接到“客户端”的端口；

被动模式传送数据是“客户端”连接到“服务器”的端口。

    主动模式需要客户端必须开放端口给服务器，很多客户端都是在防火墙内，开放端口给FTP服务器访问比较困难。

    被动模式只需要服务器端开放端口给客户端连接就行了。

FTP服务器一般都支持主动和被动模式，连接采用何种模式是有FTP客户端软件决定。

6、FTP被动模式的出现原因　

在FTP的历史中，本来只有主动模式的，但是为什么又出现了被动模式呢?这又牵涉到另外一个问题了，

在很久以前(我也不知道多久)，地球上还没有什么共享上网这种技术，但是后来出现了，所以也就有了下面的问题，大家都知道，共享上网就是很 多台电脑共享一个公网IP去使用internet，再打个比喻吧，某个局域网共享210.33.25.1这个公网IP上网，当一个内网用户 192.168.0.100去访问外网的FTP服务器时，如果采用主动模式的话，192.168.0.1告诉了FTP服务器我需要某个文件和我打开了x端 口之后，由于共享上网的原因，192.168.0.1在出网关的时候自己的IP地址已经被翻译成了210.33.25.1这个公网IP，所以服务器端收到 的消息也就是210.33.25.1需要某个文件并打开了x端口，FTP服务器就会往210.33.25.1的x端口传数据，这样当然会连接不成功了，因 为打开x端口的并不是210.33.25.1这个地址，在这种情况下被动模式就有用了，相信大家已经能够理解被动模式是怎么个连接法了吧。

　　在主动模式中，FTP的两个端口是相对固定的，如果命令端口是x的话，那数据端口就是x-1，也就是说默认情况下，命令端口是21，数据端口就是20;你把命令端口改成了123，那么数据端口就是122。这样使用防火墙就很方便了，只要开通这两个端口就可以了，但是如果客户端是共享上网的话那岂不是不能正常使用FTP了，这样还是不行，一定需要被动模式。

　　在被动模式中就麻烦了些，默认情况下命令端口是21，但是数据端口是随机的

 

windows FTP被动模式设置

windows server 2008服务器搭建完毕后默认为主动式

主动式有利于服务器端管理 但是可能会被客户端防火墙拦截

被动式由于数据传输由客户端发起出 所有不会被客户端防火墙拦截  但是不利于服务器管理

IIS中搭建FTP后配置FTP为主动模式：

1、双击网站（最上面，而不是ftp站点），FTP防火墙

填写端口和IP即可   例如填写50000-60000,即为允许10000个被动连接 (此时可能为灰色需要开通防火墙)

如果端口位置为灰色,需执行以下命令添加防火墙策略 允许ftp

netsh advf：irewall
firewall  add rule name="FTP Service" action=allow
service=ftpsvc protocol=TCP dir=in

netsh advfirewall   firewall set global StatefulFTP disable

添加完毕再看端口可以输入数值和外部连接的IP地址
 点击应用。

2、而看了下用1025-1034这样的端口并不行，用抓包也看到被动时，服务器端制定的端口是50492。

而这个端口是变动的，故如果只设置一个端口是不行的（50000-50000这样不行）

相应的服务器也得在“安全组规则”里开这些端口。

FTP客户端的注意事项

请注意：选择用PASV方式还是PORT方式登录FTP服务器，选择权在FTP客户端，而不是在FTP服务器。
一、客户端只有内网IP，没有公网IP
从上面的FTP基础知识可知，如果用PORT方式，因为客户端没有公网IP，FTP将无法连接客户端建立数据链路。因此，在这种情况下，客户端必须要用PASV方式，才能连接FTP服务器。大部分FTP站长发现自己的服务器有人能登录上，有人登录不上，典型的错误原因就是因为客户端没有公网IP，但用了IE作为FTP客户端来登录（IE默认使用PORT方式）。

二、客户端有公网IP，但安装了防火墙
如果用PASV方式登录FTP服务器，因为建立数据链路的时候，是由客户端向服务器发送连接请求，没有问题。反过来，如果用PORT方式登录FTP服务器，因为建立数据链路的时候，是由服务器向客户端发送连接请求，此时连接请求会被防火墙拦截。如果要用PORT方式登录FTP服务器，请在防火墙上打开1024以上的高端端口。