什么是 FTP 欺骗攻击？

FTP代表文件传输协议，它是用于在客户端和服务器之间传输文件的应用层协议。我们可以使用 FTP 客户端下载、删除、移动、重命名和复制文件到服务器。如果您使用 FTP 传输文件，它将主要从 FTP 服务器上传或下载数据。当文件上传时，它们从个人计算机传输到服务器，当文件下载时，它们从服务器传输到个人计算机。

欺骗：

欺骗是一种网络攻击，其中入侵者冒充另一个合法设备或用户以发起网络攻击。换句话说，攻击者从看似真实的设备发送通信。

FTP欺骗攻击：

通常，在 FTP 服务器中，外部用户或其组织 IP 以外的 IP 将被阻止，以避免登录或攻击者访问/传输文件。即使有更多的安全措施，攻击者也可以使用外部计算机来冒充公司网络上计算机的主机地址，并在数据传输过程中下载文件。

在职的：

1. 攻击者将通过暴力攻击获取服务器的用户名和密码，以进入服务器以获取文件或传输有效负载。
2. 即使攻击者手中有密码，大多数组织也会丢弃/拒绝来自外部 IP 的连接。
3. 因此，攻击者会通过将本地 IP 更改为组织的 IP 地址来隐藏其原始身份。欺骗私有 IP 地址是可能的，但存在一些重大限制。
4. 可以通过使用 IP 欺骗建立可用于将有效负载传输到目标的连接，但无法建立真正的双向 TCP 连接。
5. 例如，攻击者可以让目标机器做出响应，但来自攻击者机器的响应不会被路由到它们，因此它们不会收到它们。
6. 因此，UDP 连接比 TCP 连接更广泛地用于 IP 欺骗。另一方面，攻击者可以通过发回虚假的确认数据包来模仿接收数据包，然后继续传输有效负载或建立与内部系统的连接。
7. 黑客攻击非常困难，因为不同平台处理 TCP 连接的方式不同，它可能并非在所有系统上都可行，这使得攻击者更难以复制 ack 数据包。

FTP Spoofing 攻击的工作原理

检测方法：

1. 通过扫描数据包标头中的差异来检测 IP 地址欺骗。 IP 地址可以通过其 MAC（媒体访问控制）地址或 Cisco 的 IOS NetFlow 等安全系统进行验证，该系统为访问网络的每台计算机分配一个 ID 和时间戳。所以在第一阶段本身，如果 MAC 地址不属于组织域，它将失败。
2. 每个 BotNet 都可能包含数千台能够访问多个 IP 地址的计算机。因此，自动攻击难以追踪。

预防措施：

1. 使用良好的防火墙来分析每个数据包，以避免来自外部 IP 的连接。
2. 使用强密码来避免 FTP 攻击的初始阶段。
3. 将 FTP 服务器访问权限仅限于必要的管理专业人员，并强制拥有凭据的员工使用多重身份验证来减少这种威胁。必须保存的密码应保存在 AD 域或 LDAP 服务器上。
4. 单独使用时，FTPS 技术是不安全的。客户端无需请求加密即可连接到网络。只有当客户明确要求安全连接时才有可能。在网络上，永远不应启用此功能。相反，请使用隐式加密，这会强制对所有连接进行加密。不再支持 SSL 和 TLS 1.0 协议，因此文件服务器应该运行 TLS 1.2 版。
5. 标准 FTP 协议已被弃用。安全文件传输协议服务器，通过安全连接工作，确保您的公司和客户安全。
6. 如今，哈希算法变得更容易受到暴力攻击。河豚和密码都已过时且容易破解。网络中应使用高级加密标准 (AES)。为了保护数据传输的完整性，请使用 SHA-2 系列的算法。
7. 导致拒绝服务 (DoS) 的攻击仍然很普遍。对 FTP 或 SFTP 服务器进行编程以限制恶意 IP 地址非常耗时，但它仍然是抵御这些攻击的最有效防御措施之一。我们还可以使用允许列表来明确接受您网络上的客户端，但这仅适用于仍然使用静态 IP 地址的少数流量源。
8. 通过滥用文件权限访问，黑客可以利用我们的系统。即使客户需要上传或下载数据的权限，也不应授予客户对整个目录的独占访问权限。任何未在 DMZ 服务器上使用的文件都应加密。 FTP 服务器上的文件只应在需要时保留。

结论：

FTP 在组织中广泛用于文件共享，因此对于攻击者来说就像糖果一样。组织应采取必要的行动和安全措施来防止 FTP 攻击。