[ml] Ftp in modalità passiva

Ciao a tutti! E' la prima volta che scrivo in questa lista. Spero di non
essere OT e sopratutto di non apparire un mezzo deficente. Ho poca esperienza
e per questo vi chiedo di pazientare se i miei quesiti vi posso sembrare
banali. Chiedo scusa anche per l'utilizzo della Web mail. Da qualche giorno
ho il seguente problema: macchina con W2k server, 3 Siti Asp, un server
"Ftp pubblico" a cui purtroppo sono concesse connessioni anonime per lo
scarico dei file e un motore SMTP per l'invio delle mail dai siti Web. Su
questa macchina da qualche giorno ho delle continue sessioni FTP (provenienti
da indirizzi Ip Tailandesi, Cinesi o Asiatici) e allo stesso tempo mi trovo
diverse porte aperte sulla macchina. Utilizzando Fport (programma che mi
permette di vedere le porte attive e i processi che vi girano dietro) trovo
diverse porte (molte intorno alla 4400) attivate dal processo inetinfo.exe
(Pid 3888). Oggi mi sono messo a sniffare un pò sul firewall è ho notato
questo:
234.325047 69.xxx.xxx.xx -> Ip_server TCP 65433 > ftp [SYN] Seq=4168753315
Ack=0 Win=64240 Len=0
234.325245 Ip_server -> 69.xxx.xxx.xx TCP ftp > 65433 [SYN, ACK] Seq=3609012225
Ack=4168753316 Win=65535 Len=0
234.434956 69.xxx.xxx.xx -> Ip_server TCP 65433 > ftp [ACK] Seq=4168753316
Ack=3609012226 Win=64240 Len=0
234.435262 Ip_server -> 69.xxx.xxx.xx FTP Response: 220 XXXXXXXXXXX Microsoft
FTP Service (Version 5.0).
234.556988 69.xxx.xxx.xx -> Ip_server FTP Request: USER XXXXXXXXXXX
234.557301 Ip_server -> 69.xxx.xxx.xx FTP Response: 331 Password required
for XXXXXXXXXXX.
234.668439 69.xxx.xxx.xx -> Ip_server FTP Request: PASS XXXXXXXXXXX
234.669287 Ip_server -> 69.xxx.xxx.xx FTP Response: 230 User XXXXXXXXXXX
logged in.
234.779379 69.xxx.xxx.xx -> Ip_server FTP Request: TYPE I
234.779631 Ip_server -> 69.xxx.xxx.xx FTP Response: 200 Type set to I.
234.891422 69.xxx.xxx.xx -> Ip_server FTP Request: PASV
234.892022 Ip_server -> 69.xxx.xxx.xx FTP Response: 227 Entering Passive
Mode (xxx,xxx,xxx,xxx,xx,xxx).
235.002371 69.xxx.xxx.xx -> Ip_server TCP 64641 > 4575 [SYN] Seq=4168976254
Ack=0 Win=64240 Len=0
235.002571 Ip_server -> 69.xxx.xxx.xx TCP 4575 > 64641 [SYN, ACK] Seq=3609198380
Ack=4168976255 Win=65535 Len=0
235.112897 69.xxx.xxx.xx -> Ip_server TCP 64641 > 4575 [ACK] Seq=4168976255
Ack=3609198381 Win=64240 Len=0
Se la mia lettura di quei pacchetti è corretta, il client chiama una connessione
al Server. Si connette dopodichè setta la modalità binaria e "abilita" la
modalità passiva. Subito dopo aver fatto ciò, però manda pacchetti al server
sulla porta 4575 e questo gli risponde. Ora mi chiedo: è normale che vi
sia un comportamento del genere? In Internet ho letto che settando la modalità
passiva, il server che apre un canale di connessione con client. Non è un
comportamento fortemente insicuro questo? Questa presunta connessione dovrebbe
partire dal server con una porta superiore alla 1024? Nei pacchetti seguenti
è il client ha richiedere file e il server gli invia i file. Ogni 3 pacchetti
di transmissione dei dati però appare una connessione dal client verso la
porta 4575 del server. Sinceramente non riesco a capire se è tutto ok oppure
c'è qualche problema. Chiedo scusa ancora per l'utilizzo della Web mail
e sopratutto per il post piuttosto lungo. Andrea