FTPによるハッキングの可能性-解決策は何ですか？

私はFTP rfcを読んでいたので、この考えがありました。

匿名ユーザーのログインを許可するいくつかのパブリックftpサーバーがあるとします。これらの各サーバーへのポート21で制御接続を開きます。

example.comにポート80でリッスンするIPアドレスxyzwのWebサーバーがあると仮定します。FTPを使用すると、ユーザーはデータ接続をセットアップするホストを指定できます。したがって、ユーザーはexample.com Webサーバーのホストとポート番号を指定します。これで、ftpサーバーは、有効なHTTPリクエストではないexample.comへのデータ送信を開始し、拒否されました。しかし、example.comは、無効なhttp要求が、私のIPアドレスではなく、パブリックftpサーバーから来たと指摘しています。これにより、すべてのパブリックftpサーバーを利用して分散攻撃につながることはありませんか？

さらに悪いことに、ftpサーバーから送信されるデータは、example.comがftpサーバーにファイルを送り返す有効なhttpリクエストである可能性があります。

これに対する解決策はありますか、それともまったく問題はありませんか？

ターゲットWebサーバーがFTPストージからの転送を拒否するため、問題はありません。転送のデータが有効なhttp要求であっても、プロトコルハンドシェイクは一致せず、接続は閉じられます。したがって、最初のftp要求は、ターゲットがトラフィックで受信するよりも多くのオーバーヘッドを元のマシンに発生させます。

ここにはまだ分散脆弱性が存在する可能性があります。ボットネットを実行する場合、ボットネット内のPCを使用して攻撃を実行できます。個々のメンバーはそれぞれ、作成した帯域幅よりも多くの帯域幅を使用しますが、帯域幅ではないので大丈夫です。これがわざわざとしてあなたに与える利点は、あなたの捕獲されたゾンビのPCを発見から保護するのに役立つことです。ゾンビが隠れている場所を隠す方法の1つかもしれません。幸いなことに、この間接的な追加の層は、それが価値があるよりも厄介だと思っています。

この攻撃も比較的簡単に防御できます。使用できる潜在的な匿名パブリックftpサーバーの数には制限があり、固定されています。これらのサーバーは通常、通常のhttpトラフィックには使用されません。したがって、優れたネットワーク管理者として、このような攻撃の標的を見つけた場合、リクエストがWebサーバーに到達する前に、ルーターでこれらのマシンをipでブロックするだけで済みます。従来の分散攻撃では、多くの正当なトラフィックも遮断されるため、これは悪いことです。ただし、この場合、攻撃に関与するIPアドレスのほとんどが正当なトラフィックを送信するわけではないため、それらをブロックしても安全です。

FTPサーバーでは、PCがデータ用にポート80を選択できるとは思わない。おそらくエラーが発生するか、切断されます。