系统安全加固(五) 使用knockd隐藏端口

已于 2023-08-02 11:16:37 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: 系统安全加固 文章标签: 系统安全 安全 服务器 网络安全 linux
于 2023-08-02 11:15:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hey_1_Kong/article/details/132057524
版权

使用knockd隐藏端口


如果你有一台公众可访问的服务器,黑客可以轻松扫描其IP地址,查找服务器上的开放端口(尤其是用于SSH的端口22)。将服务器隐藏起来、不让黑客看见的一种方法是使用knockd。knockd是一种端口试探服务器工具,它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中

安装knockd Server

  1. 尝试使用yum或apt安装knockd-server服务(yum install knock-server),如果不行,使用以下步骤继续

  2. 下载knockd-server的rpm源
    https://pkgs.org/download/knock-server
    进入下载页面后需要先根据图案完成手工验证后才可以看到下载链接,下载对应版本的rpm文件
    在这里插入图片描述
    最终获取到的下载地址为:

    https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/k/knock-server-0.7.8-10.20151227git258a27e.el7.x86_64.rpm

    在Linux中执行命令:wget 下载该rpm文件:
    安装knockd-server

    rpm -ivh knock-server-0.7.8-10.20151227git258a27e.el7.x86_64.rpm
    yum install knock-server
    systemctl status knockd 如果服务已经存在,则说明安装成功

配置knockd-server

  1. 编辑配置文件/etc/knockd.conf

    [options]
    #UseSyslog
    logfile = /root/knockd.log
    Interface = ens33
    [opencloseSSH]
    sequence = 2222:udp,3333:tcp,4444:udp
    seq_timeout = 15
    tcpflags = syn
    start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport ssh -j ACCEPT
    cmd_timeout = 10
    stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport ssh -j ACCEPT
    以上是默认配置,也可以将opencloseSSH分开进行设置

  2. 配置修改完成后,请重启knockd服务

    systemctl restart knockd

  3. 使用iptables添加以下防火墙规则

    iptables -A INPUT -s 192.168.17.125 -j ACCEPT    #允许宿主机连接,方便实验的时候可以用SSH进行连接
    iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT     #允许本机的连接
    iptables -A INPUT -j DROP      #拒绝其他所有IP的连接
    或:iptables -A INPUT -p tcp --dport 22 -j REJECT      #只阻止22号端口

隐藏和打开端口实验

  1. 使用nmap对端口进行扫描
    以下扫描请不要在宿主机上进行,因为宿主机是可以正常访问22号端口的,可以使用一台Kali主机

    nmap -sC -Pn -sV -p 22 -A 192.168.112.215
    Starting Nmap 7.93 ( https://nmap.org ) at 2023-03-29 11:42 CST
    Nmap scan report for 192.168.112.215
    Host is up.
    PORT STATE SERVICE VERSION
    22/tcp filtered ssh
    Too many fingerprints match this host to give specific OS details

    从上述结果可以看出,22号端口被iptables的最后一条规则给过滤了

  2. 在其他主机上安装knock客户端工具,可以使用一台Kali主机

    yum install knock
    apt install knockd

  3. 使用以下命令敲门

    knock -v 192.168.112.215 2222:udp 3333:tcp 4444:udp

    此时,在knockd-server的日志大致会显示以下内容:
    [2023-03-29 12:46] 192.168.112.216: opencloseSSH: Stage 1
    [2023-03-29 12:46] 192.168.112.216: opencloseSSH: Stage 2
    [2023-03-29 12:46] 192.168.112.216: opencloseSSH: Stage 3
    [2023-03-29 12:46] 192.168.112.216: opencloseSSH: OPEN SESAME
    [2023-03-29 12:46] opencloseSSH: running command: /sbin/iptables -I INPUT -s 192.168.112.216 -p tcp --dport ssh -j ACCEPT
    敲门成功后iptables会将22号端口开放出来

  4. 使用以下命令关门

    knock -v 192.168.112.215 4444:udp 3333:tcp 2222:udp

    此时,在knockd-server的日志大致会显示以下内容:
    [2023-03-29 12:47] 192.168.112.216: opencloseSSH: Stage 1
    [2023-03-29 12:47] 192.168.112.216: opencloseSSH: command timeout
    [2023-03-29 12:47] opencloseSSH: running command: /sbin/iptables -D INPUT -s 192.168.112.216 -p tcp --dport ssh -j ACCEPT
    此时,防火墙将删除允许22号端口通过的命令,关闭22号端口

网安小白菜
关注
专栏目录
KnockKnock - Port Knocking for Windows-开源
05-07
Windows端口敲门。 Windows敲门的实现已开发为可与现有防火墙(免费的CHX-I Packet Filter v3.0)一起使用
Linux运维之knockd部署
weixin_51339377的博客
12-27 1344
在基于Debian/Ubuntu/Ubuntu的服务器上,可以使用apt-get命令来安装knockd。要想在指定的IP地址处打开端口22,请在计算机上使用下列命令。使用knockd,你尽可放心:你的SSH服务器安全的,并且远离使用复杂扫描工具的攻击者。如果你有一台公众可访问的服务器,黑客可以轻松扫描其IP地址,查找服务器上的开放端口(尤其是用于SSH的端口22)。在你的服务器上,你可以使用nano或Vi。command:这是一旦客户软件的试探序列与序列字段中的模式,执行的命令。
打造坚固的SSH防护网:端口敲门入门指南
最新发布
todoitbo的博客
06-24 5314
本文将介绍一种有效提升SSH安全性的技术——端口敲门。通过设置特定的端口序列来开启SSH访问,这种方法可以有效防止恶意扫描和暴力破解。文章将详细讲解端口敲门的工作原理、配置步骤及其在实际应用中的注意事项,帮助读者打造更为坚固的SSH防护网。
knockd敲门服务
a1_pha的博客
01-27 659
端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统安全性。其中sequence设置序列号,seq_timeout设置超时时间。
通过Knockd隐藏SSH,让黑客看不见你的服务器
大方子
01-11 2992
0X01设备信息: Ubuntu14.04:192.168.61.135 Kali:192.168.61.130 0X02配置过程: 先用Kali探测下Ubuntu的端口情况,可以看到Ubuntu的22端口是正常开放的 接下来在Ubuntu上安装Knockd apt-get install update apt-get install build-essential -y apt-get install knockd -y 安装完成后就cat下Knockd的配置/...
使用 Kali Linux 进行 Web 渗透测试
Spontaneous_0的博客
12-21 1670
Web渗透:如何使用 Kali Linux 来访问目标 PC!什么是 Kali Linux?“Kali Linux 是一个基于 Debian 的 Linux 发行版,旨在进行高级渗透测试和安全审核”。在Web渗透中,信息就是力量、就是安全。因此,我们总是首先收集尽可能多的有关目标的信息——因为这可能会告诉我们实施攻击的最佳方式。一台计算机(同一IP)上可以安装多个网站。如果您无法进入目标,请尝试侵入另一个网站。
DC-9(knockd服务)
m0_66299232的博客
10-11 1271
find / -name "test.py" 2>/dev/null //查找test.py文件位置。5.依次敲击 7469 8475 9842 端口实现敲门操作 ,再次用nmap发现ssh开放。file=../../../../etc/passwd 成功查询到passwd文件。4.openssl passwd -1 -salt 123456 //给密码加盐。1>抓个包,把抓到的信息写进一个文本里,sqlmap跑一下。虚拟机网络链接模式:桥接模式。1>用爆破出的用户名密码登录。1.探测目标靶机ip。
knock-knock:测试默认Knockd配置以识别隐藏的远程服务的脚本
05-10
KnockdEfault评估程序-测试默认端口的Knock隐藏操作的周长感谢Python-libnmap的开发人员我的博客上的概念证明-http: 关于这是一个简单的工具,用于确定远程服务器列表是否使用默认的终止端口终止序列来伪装任何服务...
tportknockd-开源
04-15
端口敲门是一种网络安全技术,通过在特定顺序上连接到服务器的非公开端口来验证访问者的身份,只有正确“敲门”才能获得访问权限。这种技术有助于保护服务器免受未授权的访问,尤其是在SOHO(小型办公室/家庭办公室...
Ansible-WebServer:用于一台或多台Web服务器(Nginx(前端)+ Apache(后端))的全自动部署的Playbook
02-11
适用于一台或多台Web服务器(Nginx + Apache)的全自动部署的Playbook 用法 安装Ansible: Debian: sudo apt install ansible 运行init.sh并按照说明...怎样做才能提高安全性? 隐藏Nginx和Apache版本 禁止访问A
靶机系列测试 djinn1
08-03
它们对应的是knockd服务的端口敲击序列,通过特定顺序的端口连接尝试,可以绕过SSH过滤,成功建立连接。 **FTP服务**部分,可以匿名访问靶机的FTP服务器。通过下载`creds.txt`、`game.txt`和`game.txt`(可能是重复...
25个必须记住的SSH命令
04-27
安装并配置`knockd`后,可以通过特定端口序列来开启或关闭服务,如SSH,提高安全性。 12. **删除SSH主机记录**: `ssh-keygen -R hostname`用于从已知主机列表中删除不再需要的主机记录。 除了这些命令,SSH还...
knockd - 敲敲門, 敲對了就開門
weixin_33910759的博客
09-18 827
FROM: http://jamyy.dyndns.org/blog/2010/08/2596.html目的: 使用 knockd 保護指定埠口 作法: 使用者連線前必須先依序 '敲擊' 指定埠號 (port knocking), knockd 才開放受到保護的埠口 環境: Fedora 10 安裝 knockd cd /tmp wget http://ww...
白话零信任03:第四章零信任组件技术
caoxiaoye的博客
01-07 2350
零信任架构中各个技术组件详解
Linux rootkit之隐藏TCP端口和检测
小立仔
07-17 2520
Linux rootkit之隐藏TCP端口和检测
Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】
qq_41252520的博客
08-04 996
Rookit是个老生常谈的话题了,它包括隐藏进程、隐藏模块、隐藏端口隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码,但你不能不懂,也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题,索性我就利用空余时间研究了一下网络端口隐藏。网上随便去搜搜隐藏端口的资料,发现能用的几乎没有。这才是我研究的动力和分享的意义。\textcolor{green}{这才是我研究的动力和分享的意义。这才是我研究的动力和分享的意义。于是就自己研究了一通,发现也没什么特别的。
web安全/渗透测试(四):收集目标网站信息的网站
蓝泽兮的博客
03-31 672
1、http://whois.domaintools.com/ 查找目标网站所有者的信息 2、https://sitereport.netcraft.com/?url site report入口输入目标网站地址 查找目标网站使用的技术,包括服务器的技术和客户端的技术 3、https://www.robtex.com/ 查找关于目标网站的DNS信息 ...
【Vulnhub靶机】DC-9(端口敲门服务Knockd
过期的秋刀鱼
08-11 550
该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。目前基本上都使用sha-512算法的,但无论是md5还是sha-256都仍然支持;用户名:密码hash值:uid:gid:说明:家目录:登陆后使用的shell。$salt$是加密时使用的salt,hashed才是真正的密码部分;下的一样的格式,保存在pass文件中。参数,读取请求的数据,来爆破数据库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值