使用ftplib连接到FTP TLS 1.2服务器

2024-04-29 05:45:25 发布

您现在位置:Python中文网/ 问答频道 /正文
1004 3

我尝试连接到只支持TLS 1.2的FTP服务器 使用Python3.4.1

我的代码:

import ftplib
import ssl
ftps = ftplib.FTP_TLS()

ftps.ssl_version = ssl.PROTOCOL_TLSv1_2
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

客户端错误:

ssl.SSLEOFError: EOF occurred in violation of protocol (_ssl.c:598)

服务器端错误:

  Failed TLS negotiation on control channel, disconnected. (SSL_accept(): 
  error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol)

示例中的凭据可用于测试。


Tags: 代码import服务器sslversion错误tlsftp
2条回答
网友
1楼 · 编辑于 2024-04-29 05:45:25

首先,AFAIK-no-ftp直接支持SSL,为此引入了ftps。sftp和ftps也是两个不同的概念:http://en.wikipedia.org/wiki/FTPS。现在,您的问题是关于编程,而不是SSL或ftps或任何这样的客户机-服务器通信

import ftplib
import ssl
ftps = ftplib.FTP_TLS()

#ftps.ssl_version = ssl.PROTOCOL_TLSv1_2
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

因为ftplib没有属性PROTOCOL_TLSv1_2,而且工作正常。你的主人没有回应!

希望有帮助!

网友
2楼 · 编辑于 2024-04-29 05:45:25

最后的解决方案见本文末尾。剩下的是调试问题所需的步骤。

I try to connect to a FTP Server which only supports TLS 1.2 Using Python 3.4.1

你怎么知道的?

ssl.SSLEOFError: EOF occurred in violation of protocol (_ssl.c:598)

我建议客户机和服务器之间的许多SSL问题中的一个,比如服务器不支持TLS 1.2,没有公共密码等等。这些问题很难调试,因为您要么只得到一些SSL警报,要么服务器会在没有任何明显原因的情况下简单地关闭连接。如果您有权访问服务器,请在服务器端查找错误消息。

您也可以尝试不强制使用SSL版本,而是使用默认版本,以便客户机和服务器都同意最佳SSL版本的支持。如果仍然不起作用,请尝试使用已知与此服务器一起工作的客户端,并对连接的好坏进行数据包捕获和比较。如果您需要帮助,请将数据包捕获发布到cloudshark.org。

编辑1:在python 3.4.0和3.4.2中对测试服务器进行了尝试:

  • python 3.4.0执行TLS 1.0握手,即忽略设置
  • python 3.4.2成功地完成了TLS 1.2握手

在这两个版本中,ftplib都有一个小错误,即它发送AUTH SSL,而不是AUTH TLS,如果ftps.ssl_version是其他东西,则发送TLS1.0,即SSLv3或TLS1.1.+。虽然我怀疑这是问题的根源,但实际上可能是FTP服务器处理AUTH TLSAUTH SSL的方式不同。

编辑2和解决方案:

数据包捕获显示设置ftps.ssl_version没有效果,SSL握手仍将仅使用TLS 1.0完成。查看3.4.0中ftplib的源代码可以得到:

    ssl_version = ssl.PROTOCOL_TLSv1

    def __init__(self, host='', user='', passwd='', acct='', keyfile=None,
                 certfile=None, context=None,
                 timeout=_GLOBAL_DEFAULT_TIMEOUT, source_address=None):
        ....
        if context is None:
            context = ssl._create_stdlib_context(self.ssl_version,
                                                 certfile=certfile,
                                                 keyfile=keyfile)
        self.context = context

由于在调用ftplib.FTP_TLS()时调用__init__,因此将使用ftplib(ssl.PROTOCOL_TLSv1)使用的默认ssl_version创建SSL上下文,而不是使用您自己的版本。要强制实施另一个SSL版本,您必须为自己的上下文提供所需的SSL版本。以下对我有效:

import ftplib
import ssl

ctx = ssl._create_stdlib_context(ssl.PROTOCOL_TLSv1_2)
ftps = ftplib.FTP_TLS(context=ctx)

print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

或者,您可以全局设置协议版本,而不是仅为此FTP\u TLS对象设置协议版本:

ftplib.FTP_TLS.ssl_version = ssl.PROTOCOL_TLSv1_2
ftps = ftplib.FTP_TLS()

还有一个很小但很重要的观察:看起来ftplib不进行任何类型的证书验证,因为它接受这个与名称不匹配的自签名证书,而且毫无怨言。这使得一个活跃的中间人攻击成为可能。希望他们将来能修复这种不安全的行为,在这种情况下,这里的代码会因为一个无效的证书而失败。

相关问题 更多 >

    编程相关推荐