ProFTPD - IdentLookups 配置选项的预期用途是什么?

ProFTPD - IdentLookups 配置选项的预期用途是什么?

最近,我对自己专用服务器的 FTP 连接延迟感到非常恼火,并开始寻找导致延迟的原因。

“Perpetrator” 是 IdentLookups 配置选项。它默认为开启,因此会导致连接尝试明显延迟。关闭后,连接将立即完成。

所以,我的问题是:缩进查找的预期用途是什么?不只是在 FTP 服务器环境中,而是在一般情况下?大多数防火墙都会阻止身份探测,所以我不明白这有什么意义……

有人可以启发我吗?

答案1

ident协议用于提供与 TCP 连接相关的用户名,主要是当许多用户使用单个 IP 地址(如共享主机等)时。现在它并不常见,所以对于 FTP,我认为禁用它是安全的。IRC 仍然经常使用它。你可以说它是一个死亡协议但嘿,你永远不知道。

它通过查询 TCP 端口对来工作,例如,客户端向服务器ident询问一对端口,回答谁是负责该连接的用户。port on server:port on clientident

安全人员不太喜欢这样,这就是为什么大多数防火墙也会阻止它,我倾向于同意他们的观点:你可以很容易地使用它来枚举服务器上的几乎所有用户。

RFC 1413在服务器时间上定义 60-180 秒的超时窗口,并在客户端上定义 30 秒的最短等待时间,这可能会导致一些严重的延迟。

答案2

IdentLookupsproftpd 将尝试使用以下方式获取新连接的用户名RFC 1413ident 协议。延迟是由于 proftpd 等待 ident 协议超时而导致的。

相关内容