小贝子编程

使用ftplib连接FTP TLS 1.2服务器



我尝试连接到只支持TLS 1.2的FTP服务器使用Python 3.4.1

我代码:

import ftplib
import ssl
ftps = ftplib.FTP_TLS()
ftps.ssl_version = ssl.PROTOCOL_TLSv1_2
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

客户端错误:

ssl.SSLEOFError: EOF occurred in violation of protocol (_ssl.c:598)

服务器端错误:

  Failed TLS negotiation on control channel, disconnected. (SSL_accept(): 
  error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol)

示例中的凭据用于测试

最后的解决方案见文章末尾。其余的是调试问题所需的步骤。

我尝试使用Python 3.4.1连接到只支持TLS 1.2的FTP服务器

你怎么知道?

ssl。SSLEOFError: EOF发生在违反协议(_ssl.c:598)

我建议客户端和服务器之间的许多SSL问题之一,如服务器不支持TLS 1.2,没有通用密码等。这些问题很难调试,因为您要么只得到一些SSL警报,要么服务器会在没有任何明显原因的情况下直接关闭连接。如果您可以访问服务器,请在服务器端查找错误消息。

您也可以尝试不强制使用SSL版本,而是使用默认版本,这样客户端和服务器将同意双方都支持的最佳SSL版本。如果这仍然不起作用,请尝试使用已知与此服务器一起工作的客户端,并捕获良好和不良连接的数据包并进行比较。如果您需要帮助,请将数据包捕获发送到cloudshark.org。

编辑#1:刚刚在测试服务器上使用python 3.4.0和3.4.2进行了测试:

  • python 3.4.0进行TLS 1.0握手,即忽略设置
  • python 3.4.2完成TLS 1.2握手

在这两个版本ftplib有一个小错误,如果ftps.ssl_version是TLS 1.0,即SSLv3或TLS1.1.+,它发送AUTH SSL而不是AUTH TLS。虽然我怀疑这是问题的根源,但实际上可能是FTP服务器处理AUTH TLSAUTH SSL不同。

编辑#2和解决方案:

抓包显示设置ftps.ssl_version没有效果,SSL握手仍然只使用TLS 1.0完成。查看ftplib在3.4.0中的源代码:

    ssl_version = ssl.PROTOCOL_TLSv1
    def __init__(self, host='', user='', passwd='', acct='', keyfile=None,
                 certfile=None, context=None,
                 timeout=_GLOBAL_DEFAULT_TIMEOUT, source_address=None):
        ....
        if context is None:
            context = ssl._create_stdlib_context(self.ssl_version,
                                                 certfile=certfile,
                                                 keyfile=keyfile)
        self.context = context

由于在调用ftplib.FTP_TLS()时调用__init__,因此SSL上下文将使用ftplib使用的默认ssl_version (ssl.PROTOCOL_TLSv1)创建,而不是使用您自己的版本。要强制执行另一个SSL版本,您必须为自己的上下文提供所需的SSL版本。以下内容适合我:

import ftplib
import ssl
ctx = ssl._create_stdlib_context(ssl.PROTOCOL_TLSv1_2)
ftps = ftplib.FTP_TLS(context=ctx)
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

或者,您可以全局设置协议版本,而不是仅为这个FTP_TLS对象设置协议版本:

ftplib.FTP_TLS.ssl_version = ssl.PROTOCOL_TLSv1_2
ftps = ftplib.FTP_TLS()

还有一个小而重要的观察:看起来ftplib 不做任何类型的证书验证,因为它接受这个与名称不匹配的自签名证书而没有抱怨。这使得主动中间人攻击成为可能。希望他们将来能够修复这种不安全的行为,在这种情况下,这里的代码将因为无效的证书而失败。

首先,AFAIK没有ftp直接支持SSL,因此引入了ftps。此外,sftp和ftps是两个不同的概念:http://en.wikipedia.org/wiki/FTPS .现在,您的问题是关于编程,而与SSL或ftps或任何此类客户端-服务器通信无关

import ftplib
import ssl
ftps = ftplib.FTP_TLS()
#ftps.ssl_version = ssl.PROTOCOL_TLSv1_2
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

as ftplib没有属性PROTOCOL_TLSv1_2,除此之外它工作得很好。你的主机没有响应!

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium