Ich habe den FTP-RFC gelesen und hatte daher diese Idee.
Angenommen, es gibt mehrere öffentliche FTP-Server, auf denen sich anonyme Benutzer anmelden können. Ich öffne eine Steuerverbindung auf Port 21 zu jedem dieser Server.
Angenommen, auf example.com befindet sich ein Webserver mit der IP-Adresse xyzw, der an Port 80 empfangsbereit ist. Mithilfe von FTP kann ein Benutzer den Host angeben, auf dem die Datenverbindung eingerichtet werden soll. Ein Benutzer gibt also den Host und die Portnummer des example.com-Webservers an. Nun beginnt der FTP-Server mit dem Senden von Daten an example.com, für die es sich nicht um eine gültige HTTP-Anforderung handelt, und wird daher abgelehnt. Example.com stellt jedoch fest, dass die ungültige http-Anfrage von einem öffentlichen FTP-Server und nicht von meiner IP-Adresse stammt. Kann dies nicht zu einem verteilten Angriff führen, wenn alle öffentlichen FTP-Server genutzt werden?
Schlimmer noch, die vom FTP-Server gesendeten Daten könnten eine gültige http-Anfrage sein, die example.com veranlassen könnte, eine Datei an den FTP-Server zurückzusenden.
Gibt es eine Lösung dafür oder ist es überhaupt kein Problem?