我尝试连接到只支持TLS 1.2的FTP服务器 使用Python3.4.1
我的代码:
import ftplib
import ssl
ftps = ftplib.FTP_TLS()
ftps.ssl_version = ssl.PROTOCOL_TLSv1_2
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))
客户端错误:
ssl.SSLEOFError: EOF occurred in violation of protocol (_ssl.c:598)
服务器端错误:
Failed TLS negotiation on control channel, disconnected. (SSL_accept():
error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol)
示例中的凭据可用于测试。
首先,AFAIK-no-ftp直接支持SSL,为此引入了ftps。sftp和ftps也是两个不同的概念:http://en.wikipedia.org/wiki/FTPS。现在,您的问题是关于编程,而不是SSL或ftps或任何这样的客户机-服务器通信
因为ftplib没有属性PROTOCOL_TLSv1_2,而且工作正常。你的主人没有回应!
希望有帮助!
最后的解决方案见本文末尾。剩下的是调试问题所需的步骤。
你怎么知道的?
我建议客户机和服务器之间的许多SSL问题中的一个,比如服务器不支持TLS 1.2,没有公共密码等等。这些问题很难调试,因为您要么只得到一些SSL警报,要么服务器会在没有任何明显原因的情况下简单地关闭连接。如果您有权访问服务器,请在服务器端查找错误消息。
您也可以尝试不强制使用SSL版本,而是使用默认版本,以便客户机和服务器都同意最佳SSL版本的支持。如果仍然不起作用,请尝试使用已知与此服务器一起工作的客户端,并对连接的好坏进行数据包捕获和比较。如果您需要帮助,请将数据包捕获发布到cloudshark.org。
编辑1:在python 3.4.0和3.4.2中对测试服务器进行了尝试:
在这两个版本中,ftplib都有一个小错误,即它发送
AUTH SSL
,而不是AUTH TLS
,如果ftps.ssl_version
是其他东西,则发送TLS1.0,即SSLv3或TLS1.1.+。虽然我怀疑这是问题的根源,但实际上可能是FTP服务器处理AUTH TLS
和AUTH SSL
的方式不同。编辑2和解决方案:
数据包捕获显示设置
ftps.ssl_version
没有效果,SSL握手仍将仅使用TLS 1.0完成。查看3.4.0中ftplib的源代码可以得到:由于在调用
ftplib.FTP_TLS()
时调用__init__
,因此将使用ftplib(ssl.PROTOCOL_TLSv1
)使用的默认ssl_version
创建SSL上下文,而不是使用您自己的版本。要强制实施另一个SSL版本,您必须为自己的上下文提供所需的SSL版本。以下对我有效:或者,您可以全局设置协议版本,而不是仅为此FTP\u TLS对象设置协议版本:
还有一个很小但很重要的观察:看起来ftplib不进行任何类型的证书验证,因为它接受这个与名称不匹配的自签名证书,而且毫无怨言。这使得一个活跃的中间人攻击成为可能。希望他们将来能修复这种不安全的行为,在这种情况下,这里的代码会因为一个无效的证书而失败。
相关问题 更多 >
编程相关推荐