tcp文件传输(tcp文件传输 安卓app)

计算机网络七层模型中，传输层有两个重要的协议：（1）用户数据报协议UDP (User Datagram Protocol)（2）传输控制协议TCP (Transmission Control Protocol)UDP 在传送数据之前不需要先建立连接。远地主机的运输层在收到UDP 报文后，不需要给出任何确认。虽然UDP 不提供可靠交付，但在某些情况下UDP 却是一种最有效的工作方式。TCP 则提供面向连接的服务。在传送数据之前必须先建立连接，数据传送结束后要释放连接。TCP 不提供广播或多播服务。由于TCP 要提供可靠的、面向连接的运输服务，因此不可避免地增加了许多的开销，如确认、流量控制、计时器以及连接管理等。UDP 的主要特点是：首部手段很简单，只有8 个字节，由四个字段组成，每个字段的长度都是两个字节。前面已经讲过，每条TCP 连接有两个端点，TCP 连接的端点叫做套接字（socket）或插口。套接字格式如下：套接宁socket= (IP 地址：端口号’）每一条TCP 连接唯一地被通信两端的两个端点（即两个套接宇）所确定。即：TCP 连接＝ {socket1, socket2} = {(IP1: port1), (IP2: port2)}3次握手链接4次握手释放链接断开连接请求可以由客户端发出，也可以由服务器端发出，在这里我们称A端向B端请求断开连接。各个状态节点解释如下：下面为了讨论问题的万便，我们仅考虑A发送数据而B 接收数据并发送确认。因此A 叫做发送方，而B 叫做接收方。“停止等待”就是每发送完一个分组就停止发送，等待对方的确认。在收到确认后再发送下一个分组。使用上述的确认和重传机制，我们就可以在不可靠的传输网络上实现可靠的通信。像上述的这种可靠传输协议常称为自动重传请求ARQ (Automatic Repeat reQuest）。意思是重传的请求是自动进行的。接收方不需要请求发送方重传某个出错的分组。滑动窗口协议比较复杂，是TCP 协议的精髓所在。这里先给出连续ARQ 协议最基本的概念，但不涉提到许多细节问题。详细的滑动窗口协议将在后面讨论。下图表示发送方维持的发送窗口，它的意义是：位于发送窗口内的5 个分组都可连续发送出去，而不需要等待对方的确认。这样，信道利用率就提高了。连续ARQ 协议规定，发送方每收到一个确认，就把发送窗口向前滑动一个分组的位置。接收方一般都是采用累积确认的方式。这就是说，接收方不必对收到的分组逐个发送确认，而是可以在收到几个分组后，对按序到达的最后一个分组发送确认，这样就表示：到这个分组为止的所有分组都己正确收到了。累积确认的优点是容易实现，即使确认丢失也不必重传。但缺点是不能向发送方反映出接收方己经正确收到的所有分组的信息。例如，如果发送方发送了前5 个分组，而中间的第3 个分组丢失了。这时接收方只能对前两个分组发出确认。发送方无法知道后面三个分组的下落，而只好把后面的三个分组都再重传一次。这就叫做Go-back-N （回退N ），表示需要再退回来重传己发送过的N 个分组。可见当通信线路质量不好时，连续ARQ 协议会带来负面的影响。TCP 的滑动窗口是以字节为单位的。现假定A 收到了B 发来的确认报文段，其中窗口是20 （字节），而确认号是31 （这表明B 期望收到的下一个序号是31 ，而序号30 为止的数据己经收到了）。根据这两个数据， A 就构造出自己的发送窗口，其位置如图所示。发送窗口表示：在没有收到B 的确认的情况下， A可以连续把窗口内的数据都发送出去。凡是己经发送过的数据，在未收到确认之前都必须暂时保留，以便在超时重传时使用。发送窗口后沿的后面部分表示己发送且己收到了确认。这些数据显然不需要再保留了。而发送窗口前沿的前面部分表示不允许发送的，因为接收方都没有为这部分数据保留临时存放的缓存空间。现在假定A 发送了序号为31 ～ 41 的数据。这时发送窗口位置并未改变，但发送窗口内靠后面有11个字节（灰色小方框表示）表示己发送但未收到确认。而发送窗口内靠前面的9 个字节（ 42 ～ 50 ）是允许发送但尚未发送的。】再看一下B 的接收窗口。B 的接收窗口大小是20，在接收窗口外面，到30 号为止的数据是已经发送过确认，并且己经交付给主机了。因此在B 可以不再保留这些数据。接收窗口内的序号（31～50）足允许接收的。B 收到了序号为32 和33 的数据，这些数据没有按序到达，因为序号为31 的数据没有收到（也许丢失了，也许滞留在网络中的某处）。请注意， B 只能对按序收到的数据中的最高序号给出确认，因此B 发送的确认报文段中的确认号仍然是31 （即期望收到的序号）。现在假定B 收到了序号为31 的数据，并把序号为31～33的数据交付给主机，然后B删除这些数据。接着把接收窗口向前移动3个序号，同时给A 发送确认，其中窗口值仍为20，但确认号是34，这表明B 已经收到了到序号33 为止的数据。我们注意到，B还收到了序号为37, 38 和40 的数据，但这些都没有按序到达，只能先存在接收窗口。A收到B的确认后，就可以把发送窗口向前滑动3个序号，指针P2 不动。可以看出，现在A 的可用窗口增大了，可发送的序号范围是42～53。整个过程如下图：A 在继续发送完序号42-53的数据后，指针P2向前移动和P3重合。发送窗口内的序号都已用完，但还没有再收到确认。由于A 的发送窗口己满，可用窗口己减小到0，因此必须停止发送。上面已经讲到， TCP 的发送方在规定的时间内没有收到确认就要重传已发送的报文段。这种重传的概念是很简单的，但重传时间的选择却是TCP 最复杂的问题之一。TCP采用了一种自适应算法，它记录一个报文段发出的时间，以及收到相应的确认的时间。这两个时间之差就是报文段的往返时间RTT，TCP 保留了RTT的一个加权平均往返时间RTTs （这又称为平滑的往返时间， S 表示Smoothed 。因为进行的是加权平均，因此得出的结果更加平滑）。每当第一次测量到RTT样本时， RTTs值就取为所测量到的RTT样本值。但以后每测量到一个新的RTT样本，就按下式重新计算一次RTTs:新的RTTs = (1 － α）×（旧的RTTs) ＋ α ×（新的RTT样本）α 越大表示新的RTTs受新的RTT样本的影响越大。推荐的α 值为0.125，用这种方法得出的加权平均往返时间RTTs 就比测量出的RTT值更加平滑。显然，超时计时器设置的超时重传时间RTO (RetransmissionTime-Out）应略大于上面得出的加权平均往返时间RTTs。RFC 2988 建议使用下式计算RTO:RTO = RTTs + 4 × RTTdRTTd是RTT 的偏差的加权平均值，它与RTTs和新的RTT样本之差有关。计算公式如下：新的RTTd= (1- β）×（旧的RTTd) + β × |RTTs－新的RTT样本|发现问题：如图所示，发送出一个报文段。设定的重传时间到了，还没有收到确认。于是重传报文段。经过了一段时间后，收到了确认报文段。现在的问题是：如何判定此确认报文段是对先发送的报文段的确认，还是对后来重传的报文段的确认？若收到的确认是对重传报文段的确认，但却被源主机当成是对原来的报文段的确认，则这样计算出的RTTs 和超时重传时间RTO 就会偏大。若后面再发送的报文段又是经过重传后才收到确认报文段，则按此方法得出的超时重传时间RTO 就越来越长。若收到的确认是对原来的报文段的确认，但被当成是对重传报文段的确认，则由此计算出的RTTs 和RTO 都会偏小。这就必然导致报文段过多地重传。这样就有可能使RTO 越来越短。Kam 提出了一个算法：在计算加权平均RTTs 时，只要报文段重传了就不采用其往返时间样本。这样得出的加权平均RTTs 和RTO 就较准确。新问题：设想出现这样的情况：报文段的时延突然增大了很多。因此在原来得出的重传时间内，不会收到确认报文段。于是就重传报文段。但根据Kam 算法，不考虑重传的报文段的往返时间样本。这样，超时重传时间就无法更新。解决方案：对Kam 算法进行修正，方法是z报文段每重传一次，就把超时重传时间RTO 增大一些。典型的做法是取新的重传时间为2 倍的旧的重传时间。当不再发生报文段的重传时，才根据上面给出的公式计算超时重传时间。流量控制（flow control）就是让发送方的发送速率不要太快，要让接收方来得及接收。利用滑动窗口机制可以很方便地在TCP 连接上实现对发送方的流量控制。接收方的主机B 进行了三次流量控制。第一次把窗口减小到rwnd =300，第二次又减到rwnd = 100 ，最后减到rwnd = 0 ，即不允许发送方再发送数据了。这种使发送方暂停发送的状态将持续到主机B 重新发出一个新的窗口值为止。我们还应注意到，B 向A 发送的三个报文段都设置了ACK=1，只有在ACK=1 时确认号字段才有意义。发生死锁：现在我们考虑一种情况。上图中， B 向A 发送了零窗口的报文段后不久， B 的接收缓存又有了一些存储空间。于是B 向A 发送了rwnd = 400 的报文段。然而这个报文段在传送过程中丢失了。A 一直等待收到B 发送的非零窗口的通知，而B 也一直等待A 发送的数据。如果没有其他措施，这种互相等待的死锁局面将一直延续下去。解决方案：TCP 为每一个连接设有一个持续计时器（persistence timer）。只要TCP 连接的一方收到对方的零窗口通知，就启动持续计时器。若持续计时器设置的时间到期，就发送一个零窗口探测报文段（仅携带1 宇节的数据），而对方就在确认这个探测报文段时给出了现在的窗口值。1 TCP连接时是三次握手，那么两次握手可行吗？在《计算机网络》中是这样解释的：已失效的连接请求报文段”的产生在这样一种情况下：client发出的第一个连接请求报文段并没有丢失，而是在某个网络结点长时间的滞留了，以致延误到连接释放以后的某个时间才到达server。本来这是一个早已失效的报文段。但server收到此失效的连接请求报文段后，就误认为是client再次发出的一个新的连接请求。于是就向client发出确认报文段，同意建立连接。假设不采用“三次握手”，那么只要server发出确认，新的连接就建立了。由于现在client并没有发出建立连接的请求，因此不会理睬server的确认，也不会向server发送ACK包。这样就会白白浪费资源。而经过三次握手，客户端和服务器都有应有答，这样可以确保TCP正确连接。2 为什么TCP连接是三次，挥手确是四次？在TCP连接中，服务器端的SYN和ACK向客户端发送是一次性发送的，而在断开连接的过程中，B端向A端发送的ACK和FIN是是分两次发送的。因为在B端接收到A端的FIN后，B端可能还有数据要传输，所以先发送ACK，等B端处理完自己的事情后就可以发送FIN断开连接了。3 为什么在第四次挥手后会有2个MSL的延时？MSL是Maximum Segment Lifetime，最大报文段生存时间，2个MSL是报文段发送和接收的最长时间。假定网络不可靠，那么第四次发送的ACK可能丢失，即B端无法收到这个ACK，如果B端收不到这个确认ACK，B端会定时向A端重复发送FIN，直到B端收到A的确认ACK。所以这个2MSL就是用来处理这个可能丢失的ACK的。1 文件传送协议文件传送协议FTP (File Transfer Protocol) [RFC 959］是因特网上使用得最广泛的文件传送协议，底层采用TCP协议。盯P 使用客户服务器方式。一个FTP 服务器进程可同时为多个客户进程提供服务。FTP的服务器进程由两大部分组成：一个主进程，负责接受新的请求：另外有若干个从属进程，负责处理单个请求。在进行文件传输时，客户和服务器之间要建立两个并行的TCP 连接：“控制连接”（21端口）和“数据连接”（22端口）。控制连接在整个会话期间一直保持打开， FTP 客户所发出的传送请求，通过控制连接发送给服务器端的控制进程，但控制连接并不用来传送文件。实际用于传输文件的是“数据连接”。服务器端的控制进程在接收到FTP 客户发送来的文件传输请求后就创建“数据传送进程”和“数据连接”，用来连接客户端和服务器端的数据传送进程。2 简单文件传送协议TFTPTCP/IP 协议族中还有一个简单文件传送协议TFfP (Trivial File Transfer Protocol），它是一个很小且易于实现的文件传送协议，端口号69。TFfP 也使用客户服务器方式，但它使用UDP 数据报，因此TFfP 需要有自己的差错改正措施。TFfP 只支持文件传输而不支持交耳。3 TELNETTELNET 是一个简单的远程终端协议，底层采用TCP协议。TELNET 也使用客户服务器方式。在本地系统运行TELNET 客户进程，而在远地主机则运行TELNET 服务器进程，占用端口23。4 邮件传输协议一个电子邮件系统应具如图所示的三个主要组成构件，这就是用户代理、邮件服务器，以及邮件发送协议（如SMTP ）和邮件读取协议（如POP3)， POP3 是邮局协议（Post Office Protocol）的版本3 。SMTP 和POP3 （或IMAP ）都是在TCP 连接的上面传送邮件，使用TCP 的目的是为了使邮件的传送成为可靠的。

划分为使用TCP端口（面向连接如打电话）和使用UDP端口（无连接如写信）两种。网络中可以被命名和寻址的通信端口是操作系统的一种可分配资源。由网络OSI（开放系统互联参考模型，OpenSystemInterconnectionReferenceModel）七层协议可知，传输层与网络层最大的区别是传输层提供进程通信能力，网络通信的最终地址不仅包括主机地址，还包括可描述进程的某种标识。所以TCP/IP协议提出的协议端口，可以认为是网络通信进程的一种标识符。应用程序（调入内存运行后一般称为：进程）通过系统调用与某端口建立连接（binding，绑定）后，传输层传给该端口的数据都被相应的进程所接收，相应进程发给传输层的数据都从该端口输出。在TCP/IP协议的实现中，端口操作类似于一般的I/O操作，进程获取一个端口，相当于获取本地唯一的I/O文件，可以用一般的读写方式访问类似于文件描述符，每个端口都拥有一个叫端口号的整数描述符，用来区别不同的端口。由于TCP/IP传输层的TCP和UDP两个协议是两个完全独立的软件模块，因此各自的端口号也相互独立。如TCP有一个255号端口，UDP也可以有一个255号端口，两者并不冲突。端口号有两种基本分配方式：第一种叫全局分配这是一种集中分配方式，由一个公认权威的中央机构根据用户需要进行统一分配，并将结果公布于众，第二种是本地分配，又称动态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回本地唯一的端口号，进程再通过合适的系统调用，将自己和该端口连接起来（binding，绑定）。TCP/IP端口号的分配综合了以上两种方式，将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。每一个标准服务器都拥有一个全局公认的端口叫周知口，即使在不同的机器上，其端口号也相同。剩余的为自由端口，以本地方式进行分配。TCP和UDP规定，小于256的端口才能作为保留端口。按端口号可分为3大类：（1）公认端口（WellKnownPorts）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。（2）注册端口（RegisteredPorts）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。（3）动态和/或私有端口（Dynamicand/orPrivatePorts）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。系统管理员可以"重定向"端口：一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80，不少人将它重定向到另一个端口，如8080。如果是这样改了，要访问本文就应改用这个地址.cn:8080。端口漏洞：8080端口可以被各种病毒程序所利用，比如BrownOrifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。端口：21服务：FTP说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马DolyTrojan、Fore、InvisibleFTP、WebEx、WinCrash和BladeRunner所开放的端口。端口：22服务：Ssh说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。端口：23服务：Telnet说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马TinyTelnetServer就开放这个端口。端口：25服务：SMTP说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、EmailPasswordSender、HaebuCoceda、ShtrilitzStealth、WinPC、WinSpy都开放这个端口。端口：80服务：HTTP说明：用于网页浏览。木马Executor开放此端口。端口：102服务：Messagetransferagent(MTA)-X.400overTCP/IP说明：消息传输代理。端口：109服务：PostOfficeProtocol-Version3说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。端口：110服务：SUN公司的RPC服务所有端口说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等端口：119服务：NetworkNewsTransferProtocol说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。端口：135服务：LocationService说明：Microsoft在这个端口运行DCERPCend-pointmapper为它的DCOM服务。这与UNIX111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-pointmapper注册它们的位置。远端客户连接到计算机时，它们查找end-pointmapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行ExchangeServer吗？什么版本？还有些DOS攻击直接针对这个端口。端口：137、138、139服务：NETBIOSNameService说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINSRegisrtation也用它。端口：161服务：SNMP说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络端口：177服务：XDisplayManagerControlProtocol说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。端口：389服务：LDAP、ILS说明：轻型目录访问协议和NetMeetingInternetLocatorServer共用这一端口。限制端口防非法入侵[分享]一般来说，我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，本文拟用一种简易的法——通过限制端口来帮助大家防止非法入侵。非法入侵的方式简单说来，非法入侵的方式可粗略分为4种：1、扫描端口，通过已知的系统Bug攻入主机。2、种植木马，利用木马开辟的后门进入主机。3、采用数据溢出的手段，迫使主机提供后门进入主机。4、利用某些软件设计的漏洞，直接或间接控制主机。非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口（比如WWW端口80、FTP端口21、邮件服务端口25、110等）开放，其他的端口则全部关闭。这里，对于采用Windows2000或者WindowsXP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下：1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”（如果是拨号上网用户，选择“我的连接”图标），弹出“本地连接状态”对话框。2、点击[属性]按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议（TCP/IP）”，然后点击[属性]按钮。3、在弹出的“Internet协议（TCP/IP）”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上。这样，您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。最后，提醒个人用户，如果您只上网浏览的话，可以不添加任何端口。但是要利用一些网络联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的网络工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP/IP“里把此端口打开以上来源于网络，不过分析得很好了相同点：都处于传输层不同点：TCP~面向连接、可靠、传输慢、保证数据的顺序UDP~面向无连接、不可靠、传输快、数据按照不同路径到，不保证数据顺序且两者传输的模式不一样

一.FTP 说明 linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol. 还有一个是proftp(Profession ftp)。 我们这里也是简单的说明下vsftp的配置。 vsftp提供3种远程的登录方式： （1）匿名登录方式 就是不需要用户名，密码。就能登录到服务器电脑里面 （2）本地用户方式 需要帐户名和密码才能登录。而且，这个帐户名和密码，都是在你linux系统里面，已经有的用户。 （3）虚拟用户方式 同样需要用户名和密码才能登录。但是和上面的区别就是，这个用户名和密码，在你linux系统中是没有的(没有该用户帐号) 二.Vsftp的安装配置 2.1安装 vsftp 的安装包，可以在安装里找到。 用yum 安装过程也很简单。 安装命令：yum install vsftpd 2.2. 相关命令 2.2.1 启动与关闭 [root@singledb ~]# service vsftpd start Starting vsftpd for vsftpd:[OK] [root@singledb ~]# service vsftpd stop Shutting down vsftpd:[OK] [root@singledb ~]# service vsftpd restart Shutting down vsftpd:[FAILED] Starting vsftpd for vsftpd:[OK] [root@singledb ~]# /etc/init.d/vsftpd start Starting vsftpd for vsftpd:[FAILED] [root@singledb ~]# /etc/init.d/vsftpd stop Shutting down vsftpd:[OK] [root@singledb ~]# /etc/init.d/vsftpd restart Shutting down vsftpd:[FAILED] Starting vsftpd for vsftpd:[OK] [root@singledb ~]# /etc/init.d/vsftpd status vsftpd (pid 3931) is running... [root@singledb ~]# 2.2.2. 其他命令 --查看vsftpd 启动状态 [root@singledb ~]# chkconfig --list vsftpd vsftpd0:off 1:off 2:off 3:off 4:off 5:off 6:off [root@singledb ~]# chkconfigvsftpd on [root@singledb ~]# chkconfig --list vsftpd vsftpd0:off 1:off 2:on3:on4:on5:on6:off 这里看到，默认情况下从2到5设置为on了。2到5是多用户级别。 这个对应的是linux不同的运行级别。 我们也可以加level 选项来指定： [root@singledb ~]# chkconfig --level 0 vsftpd on [root@singledb ~]# chkconfig --list vsftpd vsftpd0:on1:off 2:on3:on4:on5:on6:off 我们看到0已经设置为on了。 我们可以使用man chkconfig 来查看帮助： --level levels Specifies the run levels an operation should pertain to. It isgivenasa string of numbers from 0 to 7. For example, --level 35 specifies runlevels 3and 5. 传统的init 定义了7个运行级（run level），每一个级别都代表系统应该补充运行的某些特定服务： （1）0级是完全关闭系统的级别 （2）1级或者S级代表单用户模式 （3）2-5 级 是多用户级别 （4）6级 是 重新引导的级别 （1）查看防火墙 我一般都是把系统的防火墙关闭了。 因为开了会有很多限制。 [root@singledb ~]# /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) numtarget prot opt source destination Chain POSTROUTING (policy ACCEPT) numtarget prot opt source destination 1MASQUERADEall--192.168.122.0/24!192.168.122.0/24 Chain OUTPUT (policy ACCEPT) numtarget prot opt source destination Table: filter Chain INPUT (policy ACCEPT) numtarget prot opt source destination 1ACCEPT udp--0.0.0.0/00.0.0.0/0 udp dpt:53 2ACCEPT tcp--0.0.0.0/00.0.0.0/0 tcp dpt:53 3ACCEPT udp--0.0.0.0/00.0.0.0/0 udp dpt:67 4ACCEPT tcp--0.0.0.0/00.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) numtarget prot opt source destination 1ACCEPT all--0.0.0.0/0192.168.122.0/24state RELATED,ESTABLISHED 2ACCEPT all--192.168.122.0/24 0.0.0.0/0 3ACCEPT all--0.0.0.0/00.0.0.0/0 4REJECT all--0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachable 5REJECT all--0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) numtarget prot opt source destination You have new mail in /var/spool/mail/root --添加开放21号端口： [root@singledb ~]# /sbin/iptables -I INPUT -p tcp --dport 21 -j ACCEPT [root@singledb ~]# /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) numtarget prot opt source destination Chain POSTROUTING (policy ACCEPT) numtarget prot opt source destination 1MASQUERADEall--192.168.122.0/24!192.168.122.0/24 Chain OUTPUT (policy ACCEPT) numtarget prot opt source destination Table: filter Chain INPUT (policy ACCEPT) numtarget prot opt source destination 1ACCEPT tcp--0.0.0.0/00.0.0.0/0 tcp dpt:21 2ACCEPT udp--0.0.0.0/00.0.0.0/0 udp dpt:53 3ACCEPT tcp--0.0.0.0/00.0.0.0/0 tcp dpt:53 4ACCEPT udp--0.0.0.0/00.0.0.0/0 udp dpt:67 5ACCEPT tcp--0.0.0.0/00.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) numtarget prot opt source destination 1ACCEPT all--0.0.0.0/0192.168.122.0/24state RELATED,ESTABLISHED 2ACCEPT all--192.168.122.0/24 0.0.0.0/0 3ACCEPT all--0.0.0.0/00.0.0.0/0 4REJECT all--0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachable 5REJECT all--0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) numtarget prot opt source destination --保存配置 [root@singledb ~]# /etc/rc.d/init.d/iptables save Saving firewall rules to /etc/sysconfig/iptables:[OK] --重启防火墙： [root@singledb ~]# service iptables {startstoprestart} （2）查看关闭selinux [root@singledb ~]# sestatus SELinux status: disabled 我这里在安装操作系统的时候就关闭了selinux，如果没有关闭，可以修改如下文件来关闭： [root@singledb ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=disabled # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=targeted [root@singledb ~]# 保存退出并重启系统reboot 三.FTP配置文件 FTP 安装好之后，在/etc/vsftpd/目录下会有如下文件： [root@singledb ~]# cd /etc/vsftpd/ [root@singledb vsftpd]# ls ftpusersuser_listvsftpd.confvsftpd_conf_migrate.sh [root@singledb vsftpd]# vsftpd.conf: 主配置文件 ftpusers: 指定哪些用户不能访问FTP服务器 user_list: 指定的用户是否可以访问ftp服务器由vsftpd.conf文件中的userlist_deny的取值来决定。 [root@singledb vsftpd]# cat user_list # vsftpd userlist # If userlist_deny=NO, only allow users in this file # If userlist_deny=YES (default), never allow users in this file, and # do not even prompt for a password. # Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers # for users that are denied. 我们过滤掉#的注释后，查看一下vsftpd.conf 文件： [root@singledb ftp]# cat /etc/vsftpd/vsftpd.conf grep -v '^#'; anonymous_enable=YES local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES listen=YES pam_service_name=vsftpd userlist_enable=yes tcp_wrappers=YES 至于这些参数的意思，在注释里有详细的说明。 我们可以在vsftpd.conf 文件设置如下参数： （1）ftpd_banner=welcome to ftp service ：设置连接服务器后的欢迎信息 （2）idle_session_timeout=60 ：限制远程的客户机连接后，所建立的控制连接，在多长时间没有做任何的操作就会中断(秒) （3）data_connection_timeout=120 ：设置客户机在进行数据传输时,设置空闲的数据中断时间 （4）accept_timeout=60 设置在多长时间后自动建立连接 （5）connect_timeout=60 设置数据连接的最大激活时间，多长时间断开，为别人所使用; （6）max_clients=200 指明服务器总的客户并发连接数为200 （7）max_per_ip=3 指明每个客户机的最大连接数为3 （8）local_max_rate=50000(50kbytes/sec)本地用户最大传输速率限制 （9）anon_max_rate=30000匿名用户的最大传输速率限制 （10）pasv_min_port=端口 （11）pasv-max-prot=端口号 定义最大与最小端口，为0表示任意端口;为客户端连接指明端口; （12）listen_address=IP地址 设置ftp服务来监听的地址，客户端可以用哪个地址来连接; （13）listen_port=端口号 设置FTP工作的端口号，默认的为21 （14）chroot_local_user=YES 设置所有的本地用户可以chroot （15）chroot_local_user=NO 设置指定用户能够chroot （16）chroot_list_enable=YES （17）chroot_list_file=/etc/vsftpd/chroot_list(只有/etc/vsftpd/chroot_list中的指定的用户才能执行 ) （18）local_root=path 无论哪个用户都能登录的用户，定义登录帐号的主目录, 若没有指定，则每一个用户则进入到个人用户主目录; （19）chroot_local_user=yes/no 是否锁定本地系统帐号用户主目录(所有);锁定后，用户只能访问用户的主目录/home/user,不能利用cd命令向上转;只能向下; （20）chroot_list_enable=yes/no 锁定指定文件中用户的主目录(部分),文件：/chroot_list_file=path 中指定; （21）userlist_enable=YES/NO 是否加载用户列表文件; （22）userlist_deny=YES 表示上面所加载的用户是否允许拒绝登录; （23）userlist_file=/etc/vsftpd/user_list 列表文件 限制IP 访问FTP: #vi /etc/hosts.allow vsftpd:192.168.5.128:DENY 设置该IP地址不可以访问ftp服务 FTP 访问时间限制： #cp /usr/share/doc/vsftpd-1.1.3/vsftpd.xinetd /etc/xinetd.d/vsftpd #vi /etc/xinetd.d/vsftpd/ 修改 disable = no access_time = hour:min-hour:min (添加配置访问的时间限制(注：与vsftpd.conf中listen=NO相对应) 例: access_time = 8:30-11:30 17:30-21:30 表示只有这两个时间段可以访问ftp ftp的配置基本上只有这些了。 默认情况下，ftp根目录是/var/ftp。 如果要修改这个目录位置，可以更改/etc/passwd 文件： [root@singledb ftp]# cat /etc/passwdgrep ftp ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin 创建一个用户来访问FTP,并指定该用户的FTP 目录： [root@singledb u02]# useradd -d /u02/qsftp qs [root@singledb u02]# passwd qs Changing password for user qs. New UNIX password: BAD PASSWORD: it is WAY too short Retype new UNIX password: passwd: all authentication tokens updated successfully. 这里指定的是/u02/qsftp 这个目录，要注意个目录的权限。 更改用户不能telnet，只能ftp： usermod -s /sbin/nologin username //用户只能ftp，不能telnet usermod -s /sbin/bash username//用户恢复正常 禁止用户ssh登陆 useradd username -s /bin/false 更改用户主目录： usermod -d /bbb username//把用户的主目录定为/bbb 然后用qs这个用户就可以访问了。 以上只是一些简单的设置。 在用户权限这块还有很多内容可以研究。 比如特定用户的特定权限。 安全性等。 以后在研究了。

本机测试如果在循环里传会有一些socket来不及释放造成socket耗尽而出现连接错误，建议你在本机测试时每次发送或接收数据包后都加一句Sleep(50). 另外服务端在Accept后一般是new一个新的socket出来,用完后要记得delete,而且delete前要记得关闭socket句柄.直接delete没有关闭的socket句柄会出断言错误的. 多用异常抛出机制,好好检查下程序,自己找出问题来是收获最大的.
估计是多线程的问题，用队列吧

会的。 当底层收到不完整的数据包时，协议栈就会把它丢弃，作为应用层软件是收不到数据的。