网管经验谈:FTP服务器防“雷”记

安装FTP服务器防雷插件

作为企业网络管理员需要对企业服务器进行维护，而对于大多数中小企业来说较常见的服务器应用恐怕要属FTP服务了， 
通过FTP服务我们可以方便的进行数据资源的共享，让员工可以根据自己的权限从服务器上下载或上传数据文件等资源，通过FTP服务将服务器打造成功能更加强大的文件服务器。当然很多企业的FTP服务器都是对外开放的，将自己的一些资料和文档和外部用户分享，一方面扩大了企业业务对象的覆盖面，另一方面也为已经成为用户的人群提供有力的技术支持。然而你是否知道在FTP服务器维护过程中较棘手的问题是什么呢？这就是迅雷下载，今天就请各位IT168的读者跟随笔者一起亲身经历

FTP服务器防“雷”记。

一、迅雷到底会为FTP服务器带来什么危害：

FTP服务器维护过程中会遇到一个让人头疼的问题，对于有经验的FTP服务器维护管理人员来说较惧怕的下载工具就是迅雷了。随着下载技术和软件的逐渐发展对于FTP服务器来说也出现了一个资源杀手――迅雷，通过迅雷下载工具我们不仅可以下载HTTP页面文件还可以访问FTP服务器来下载相关资源，下载时只需要按照“ftp://用户名:密码@FTP服务器IP地址/资源路径”这样一个地址添加即可。（如图1）

很多用户都使用迅雷下载资源，由于迅雷将采用多线程多连接来访问服务器，所以当通过迅雷从FTP服务器上下载时，他对服务器的负载和资源占用是巨大的，如果我们不在服务器上进行任何限制基本上几个用户采用迅雷到同一个服务器上进行下载，这个服务器也就无法再为其他人提供FTP服务了。那么我们又该如何设置禁止迅雷对FTP服务器的危害呢？较近笔者发现了这么个小工具，通过他我们可以有效的禁止迅雷工具对FTP的连接，并且还可以针对使用迅雷的用户进行封IP处理，从而让我们的FTP服务器能够为更多人服务，让服务器资源合理利用。

二、安装FTP服务器防雷插件:

理论上讲迅雷不仅占用客户端全部网络带宽用于下载，还会开启多线程连接FTP服务器获取较大的下载带宽，所以基本上用户使用迅雷下载资源对服务器资源占用是垄断型的，经过笔者测试当开启迅雷连接FTP服务器时服务器自身CPU负载马上大幅度提高。（如图2）

本文介绍的方法是从插件入手来解决迅雷下载高负荷的问题，通过在目前主流的FTP搭建工具serv-u或Gene6的插件文件夹中添加防范迅雷下载插件来阻挠使用迅雷下载工具连接FTP服务器客户端的访问。该插件适用于Serv-U 4.1及以上版本，Gene6 ftp3.7及以上版本。由于笔者使用的是Gene6 FTP建立工具，所以本文也主要以Gene6为例介绍防范方法。

小提示： 如果你使用的是Serv-u软件建立FTP的话可以按照以下步骤完成插件安装工作，首先将将AntiXunlei.dll放入Serv-U目录中，打开Serv-U目录中的ServUDaemon.ini进行修改，在ServUDaemon.ini文件增加[EXTERNAL]这一行，接下来在[EXTERNAL]行的下一行添加一行，输入EventHookDLL1=AntiXunlei.dll，较后重新启动Serv-U服务即可。插件安装完毕以后，如果没有出现任何错误，那么你的FTP服务器就可以识别并阻止迅雷的请求了。

插件名称: FTP禁止使用迅雷下载（）

版本： 反迅雷插件 v1.1 自动封IP
较早步：将“FTP禁止使用迅雷下载”插件下载并解压缩，将里面的DLL插件antixunlei.dll复制到Gene6安装目录下的plugins子目录，这个目录中存放的都是插件程序。（如图3）

第二步：重新启动服务器或者通过services.msc进入服务管理界面在Gene6 ftp server名字上点鼠标右键选择“重新启动”。（如图４）

第三步：插件安装完毕以后，如果没有出现任何错误，那么你的FTP服务器就可以识别并阻止迅雷的请求了。
至此我们就完成了防雷插件的安装，整个过程非常简单。

防雷插件实际效果

三、防雷插件实际效果：

下面我们来看看防雷插件的具体应用效果。
较早步：重新 
启动Gene6服务后我们再次用迅雷访问该服务器，下载对应的资源。（如图5）

第二步：由于我们的FTP服务器上在Gene6中添加了防雷插件，所以在用迅雷连接FTP服务器进行下载时我们会看到下载失败，原因是“未知错误”，而从提示信息中可以看出当用户要列出目录下文件时由于反迅雷插件的顺利工作提示有“530的错误”，从而从根本上禁止了迅雷工具的恶意连接。（如图6）

第三步：当然通过此方法虽然让迅雷连接呈现了“530错误”，但是由于迅雷软件的自身特性，他还会反复尝试连接的，每次连接依然会消耗服务器的资源，所以我们要针对相关参数进行设置让使用迅雷的客户端列于服务器封IP的列表中，我们打开Gene6管理端，查看“域设置”的属性，在左边找到“安全->选项”，在右边的IP选项下的“拦截已禁止的IP”前打上对勾。（如图7）

第四步：经过修改后我们再次用迅雷连接FTP服务器下载资源时出现的错误就有所区别了，在等待欢迎信息后直接出现“发生错误，等待5秒后重新尝试”，这是明显的IP被BAN封锁的提示。（如图8）

第五步：我们返回到Gene6的管理界面，在“日志和报告”->“默认”处也能够看到提示信息中有“ruanzheng,will bedisconnected:ip is banned”的字眼，这说明当前使用该帐号的用户IP地址已经被封禁止登录。（如图9）

至此我们就完成了在Gene6FTP服务器上禁止用户使用迅雷下载工具恶意下载的功能，我们的FTP服务器可以为更多的用户提供更有效的服务了。当然这个插件的机理是通过分析迅雷下载时的请求特征进行屏蔽，所以说即使迅雷默认是采用单线程下载也一样会被此插件屏蔽。当然如果日后迅雷新版本针对此特征码进行了修改，我们的插件也无法奏效，而对于一些下载高手来说也了解自定义下载软件的特征码，那么此插件对于这些人来说也无法起作用，不过对于大部分用户来说恐怕会自己修改特征码的少之又少。

巧设置让FTP服务器FXP如飞

四、巧设置让FTP服务器FXP如飞：
当然除了针对FTP服务器进行防雷处理外，很多时候 
我们的企业内部不只有一台服务器，当我们有多台服务器时经常会遇到数据同步的问题，希望让这些FTP服务器上的数据保持一致，然而很多用户在对企业内部多台FTP服务器进行FXP传输时却总是遇到这样或那样的问题。实际上这些都是设置上出错造成的，我们以Gene6为例进行介绍。
要想让Gene6建立的FTP服务能够顺利的执行FXP传输，我们要对其参数进行设置，具体操作是打开GENE6的管理控制台，在里面找到要设置的FTP域其下的某用户，打开该用户属性，在左边找到“用户->高级”选项，这里我们会看到针对FXP服务器到服务器的设置，只有我们将对应的服务器对传方向打上对勾，该用户才能够顺利使用FXP功能。例如我们要将服务器A上的数据FXP到服务器B上，那么就要在服务器A上用户给予“容许外出的服务器对传”权限，而在服务器B上用户给予“容许引入的服务器对传”。（如图10）

开启了FXP权限并设置对传输方向后我们才能够顺利的在两台FTP服务器上进行FXP传输，保证多台服务器的数据同步，也避免了用户利用自己硬盘做中转站点的麻烦。
总结：FTP服务器的管理需要我们在日常工作中去积累经验，很多功能都可以通过诸如插件程序的方式来获得，平时多积累网络管理知识，多逛逛专业工具讨论论坛，往往可以在较早时间发现功能强大好用的插件来增强自己的服务器，当然如果自身功力深厚的话我们还可以尝试自己开发相关插件让服务器老老实实的为自己服务。