什么是FTP欺骗攻击？

FTP指的是文件传输协议，它是一种应用于客户端与服务器之间文件传输的应用层协议。我们可以通过FTP客户端来下载、删除、移动、重命名或复制文件到服务器上。如果你使用FTP来传输文件，那么通常意味着从FTP服务器上传或下载数据。当文件被上传时，它们会从个人电脑传输到服务器上；而当文件被下载时，它们则从服务器传输到个人电脑上。

欺骗行为：

欺骗是一种网络攻击方式，攻击者会伪装成其他合法设备或用户，从而发起网络攻击。换句话说，攻击者会从看似真实的设备那里发送通信信息来实施攻击。

FTP欺骗攻击：

通常，在FTP服务器中，外部用户或与其所属机构相关的IP地址会被屏蔽，以防止攻击者登录或访问/传输文件。虽然有一些安全措施，但攻击者仍然可以利用外部计算机来冒充公司网络中的某台计算机的地址，从而在数据传输过程中下载文件。

工作：

1. 攻击者会通过暴力破解的方式获取服务器的用户名和密码，从而进入服务器，进而获取文件或传输恶意代码。
2. 尽管攻击者已经获得了这些密码，但大多数组织仍然会拒绝接受来自外部IP地址的连接请求。
3. 因此，攻击者会通过将本地IP地址替换为组织的IP地址来隐藏自己的真实身份。不过，这种欺骗行为仍然存在一些显著的局限性。
4. 或许可以通过使用IP欺骗技术来建立一种连接，从而将数据包传输到目标设备。不过，要实现真正的双向TCP连接是不可能的。
5. 例如，攻击者可以让目标机器做出响应，但是来自攻击者机器的响应并不会被路由到他们那里，因此他们根本无法收到这些响应。
6. 因此，与TCP连接相比，UDP连接更常被用于IP欺骗。攻击者可以通过发送伪造的确认数据包来模拟接收数据包的过程，然后继续传输有效载荷或建立与内部系统的连接。
7. 破解这种系统极其困难，因为不同平台在处理TCP连接的方式上存在差异，这使得攻击者更难复制ACK数据包。因此，从技术上来说，这种攻击方式并不具备可行性。

检测方法：

1. IP地址欺骗是通过扫描数据包的头部来检测异常现象而发现的。可以通过设备的MAC地址来验证IP地址，或者利用像Cisco的IOS NetFlow这样的安全系统来进行验证。这种系统会为访问网络的每台计算机分配一个唯一的ID和时间戳。因此，如果设备的MAC地址不属于该组织的域范围，那么就可以判断该设备存在IP地址欺骗的问题了。
2. 每个僵尸网络中可能包含数千台能够访问多个IP地址的计算机。因此，这种自动攻击行为很难被追踪到。

预防措施：

1. 使用性能良好的防火墙来分析每一封数据包，以避免来自外部IP地址的连接。
2. 使用强密码来避免FTP攻击的初始阶段。
3. 应将FTP服务器的访问权限仅限于必要的管理人员。同时，要求持有相关凭证的员工使用多因素认证来降低这种威胁。需要保存的密码应存储在AD域中或LDAP服务器上。
4. 当单独使用FTPS技术时，其安全性并不高。客户端在连接网络时无需请求加密功能。只有当客户端明确要求建立安全连接时，才需要使用这种功能。在网络环境中，不应启用此功能。相反，应使用隐式加密方式，这样所有连接都会自动被加密。目前，SSL和TLS 1.0协议已不再被支持，因此文件服务器应运行TLS 1.2版本。
5. 标准的FTP协议已经不再被推荐使用。安全的文件传输协议服务器则通过安全连接来传输数据，从而确保公司和客户的安全。
6. 如今，哈希算法更容易受到暴力攻击的威胁。Blowfish和某些加密算法都已经过时了，而且很容易被破解。因此，应该在网络中使用高级加密标准（AES）。为了保护数据传输的完整性，应使用SHA-2系列算法来进行加密处理。
7. 那些导致服务拒绝攻击的攻击方式仍然非常普遍。为FTP或SFTP服务器编写代码以限制恶意IP地址的访问是相当耗时的工作，但这一措施仍然是防御此类攻击的有效手段之一。我们还可以使用允许列表来明确接受网络中的客户端连接，不过这种方法只适用于那些仍使用静态IP地址的少数流量来源。
8. 通过滥用文件访问权限，黑客可以利用我们的系统来达到自己的目的。客户永远不应该被赋予对整个目录的独占访问权，即使他们需要权限来上传或下载数据也是如此。那些不在DMZ服务器上使用的文件应该被加密处理。FTP服务器上的文件也只应保留到需要它们的时刻为止。

结论：

FTP在组织中被广泛用于文件共享，因此对于攻击者来说，FTP就像一块美味的糖果一样吸引人。组织应该采取必要的措施来防止FTP攻击。