Linux on IBM Cloud - Port Knocking

最新推荐文章于 2024-08-05 17:11:03 发布
最新推荐文章于 2024-08-05 17:11:03 发布
阅读量241 收藏 1
点赞数
分类专栏: Linux on IBM Cloud 文章标签: Port Knocking
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxc222/article/details/87097474
版权

Port knocking 是一种用来减小主机被恶意攻击的手段。可以参考如下链接https://en.wikipedia.org/wiki/Port_knocking

Linux 安全加固

1. 部署好的机器, 马上修改密码为强密码, 10位以上, 包括#@等异形字母

2. 监控每个进程的流量, 用nethogs

3. 用APF firewall 扫描 port, 关闭全部, 只允许80, 443, etc

4. 用port knocking 开防止恶意攻击

Port knocking

是一种用来减小主机被恶意攻击的手段。可以参考如下链接https://en.wikipedia.org/wiki/Port_knocking

暴力破解,装了fail2ban来限制攻击者的IP,但是攻击者频繁换IP的话fail2ban也没辙。需要Port Knocking,

 

功能和特性

部署系统

Centos 7

 

准备工作

 

用到的命令

iptables

knockd

knock

yum

service

wget

 

安装konockd server和konck命令
  1. 下载knocked server

wget http://li.nux.ro/download/nux/misc/el7/x86_64/knock-server-0.7-1.el7.nux.x86_64.rpm

  1. 安装knocked

yum localinstall knock-server-0.7-1.el7.nux.x86_64.rpm -y

  1. 下载knock

wget http://li.nux.ro/download/nux/misc/el7/x86_64/knock-0.7-1.el7.nux.x86_64.rp

  1. 安装knock

yum localinstall knock-0.7-1.el7.nux.x86_64.rp -y

 

部署过程

部署过程

  1. iptables -L 查看现有的防火墙规则
  2. 向防火墙规则中添加如下规则:
    1. 保证所有localhost的流量不会受到影响

iptables -A INPUT -i lo -j ACCEPT

    1. 保证所有内网请求22端口的流量不会受到影响

iptables -A INPUT -s 10.0.0.0/8 -p tcp --dport 22 -j ACCEPT

    1. 保证已有的连接不会受到影响

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

  1. 部署开机自动运行

chkconfig --level 2345 knockd on

  1. 修改配置文件

vi /etc/knockd.conf

 

 

[options]

        LogFile       = /var/log/knockd.log

        Interface     = eth1

[opencloseSSH]

        sequence      = 2000:udp,3000:tcp,4000:udp

        seq_timeout   = 30

        tcpflags      = syn

        start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport ssh -j ACCEPT

        cmd_timeout   = 30

        stop_command  = /sbin/iptables -D INPUT -s %IP% -p tcp --dport ssh -j ACCEPT

 

 

 

说明:

  1. interface 是指定程序监听的网卡,只能指定一块网卡。所以前文要将内网网卡的所有流量放行,否则内网主机之间无法相互登录。
  2. Logfile 指定日志的位置
  3. Sequence 指定knocking的顺序和协议,如果不指定协议,默认为tcp
  4. Seq_timeout指每个敲击之间的有效时间间隔
  5. Tcpfalgs 指定tcp的标识
  6. Start_command 是knocking符合设定之后执行的命令,这里设定为开端口动作
  7. cmd_timeout 是执行完start_command之后间隔多久执行stop_command
  8. stop_command 是要执行的关端口动作,自动在登录之后将端口关闭
  1. 添加iptables规则,将ssh端口完全关闭

iptables -A INPUT -p tcp --dport 22 -j REJECT

  1. Service knockd restart 将服务重启
  2. 执行knockd -d 将knockd变成守护进程

 

登录被守护的主机

 
  1. 按照约定敲击端口

Knock -v -d 1000 host_ip port_num1[:udp] port_num2[:udp] port_num3[:udp]

  1. 执行ssh

ssh host_ip

  1. 联合使用命令

Knock -v -d 1000 host_ip port_num1[:udp] port_num2[:udp] port_num3[:udp]:ssh host_ip

 

jxc222@yahoo.com
关注
专栏目录
KnockKnock - Port Knocking for Windows-开源
05-07
Windows端口敲门。 Windows敲门的实现已开发为可与现有防火墙(免费的CHX-I Packet Filter v3.0)一起使用。
Linux运维之knockd部署
weixin_51339377的博客
12-27 1352
在基于Debian/Ubuntu/Ubuntu的服务器上,可以使用apt-get命令来安装knockd。要想在指定的IP地址处打开端口22,请在计算机上使用下列命令。使用knockd,你尽可放心:你的SSH服务器是安全的,并且远离使用复杂扫描工具的攻击者。如果你有一台公众可访问的服务器,黑客可以轻松扫描其IP地址,查找服务器上的开放端口(尤其是用于SSH的端口22)。在你的服务器上,你可以使用nano或Vi。command:这是一旦客户软件的试探序列与序列字段中的模式,执行的命令。
如何在Linux上使用端口敲门(以及为什么不应该这样做)
cum43546的博客
10-07 3350
Photographee.eu/ShutterstockPhotographee.eu/ShutterstockPort knocking is a way to secure a server by closing firewall ports—even those you know will be used. Those ports are opened on demand if—and on...
LinuxPort Knocking 端口碰撞(端口敲门)
最新发布
Reset
08-05 610
端口碰撞是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确的连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。在Linux中称为 Knockd服务,该服务通过动态的添加iptables规则来隐藏系统开启的端口,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。
DC-9靶机-简单谈一下端口敲门技术 (Port Knocking)
薛定谔嘚喵博客
05-23 1985
在打靶机DC-9时,爆破SSH时一直显示失败,经过查阅才知道原来是对端口做了“隐藏”,需要通过 Port Knocking 来主动开启,由于平时接触到的机会不多,所以这里简单记录一下,加强一下印象,也希望能帮助到大家。端口敲门是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确地连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。端口敲门的主要目的是。
白话零信任03:第四章零信任组件技术
caoxiaoye的博客
01-07 2358
零信任架构中各个技术组件详解
portknocking(端口试探)简介
moxuansheng的专栏
05-25 2699
端口试探(port knocking)是一种通过连接尝试,从外部打开原先关闭端口的方法。一旦收到正确顺序的连接尝试,防火墙就会动态打开一些特定的端口给允许尝试连接的主机。单一数据包认证(Single Packet Authentication),则是通过一个加密数据包,进行一次的端口试探。       端口试探的主要目的是防治攻击者通过端口扫描的方式对主机进行攻击。       端口试
js-port-knocking:Web膨胀敲门的奇思妙想
03-20
传统的端口敲门 的英文一种特殊的安全认证方案。它没有固定的标准,每个人的实现各不相同。当然,即使没听说过这个名词,不少人也有类似的想法和实现。 例如我曾经使用Windows服务器时,一直对远程桌面颇为不满。...
Port Knocking Door-开源
05-03
基于C的Port Knocking服务器和客户端。 通过封闭端口进行隐身模式,强加密(ARC4和BlowFish),守护程序模式,压缩序列,MD5摘要日志检查,用户密码和用户特权系统,操作触发器... GPL许可证。
Aldaba Port-Knocking Suite-开源
05-28
1. **多平台支持**:由于是开源项目,Aldaba Suite 可能支持多种操作系统,如Linux、Windows等,使得用户可以在不同的环境中实现Port-knocking。 2. **客户端与服务器端组件**:Aldaba Suite 包括客户端和服务器端...
Port knocking for Windows-开源
05-03
**端口敲击(Port Knocking)技术** 端口敲击是一种网络安全技术,它允许用户在不公开服务的情况下,通过特定顺序的TCP或UDP连接请求(即“敲击”特定端口)来唤醒隐藏的服务。这种方法增加了网络的安全性,因为...
别让黑客轻易入侵:端口敲门,让你的SSH固若金汤!
didiplus
06-28 1447
端口敲门(Port Knocking)是一种安全措施,它通过在防火墙上动态打开端口来允许合法用户访问受保护的服务。具体来说,端口敲门技术要求用户在尝试连接到SSH服务之前,按照预定义的顺序访问一系列隐藏端口。这种技术通过在网络层添加额外的验证步骤,有效地隐藏了实际的服务端口,并减少了被暴力破解的风险。
端口碰撞Port Knocking和单数据包授权SPA
IOsetting的专栏
01-28 386
端口碰撞技术 Port knocking 从网络安全的角度,服务器开启的端口越多就越不安全,因此系统安全加固服务中最常用的方式,就是先关闭无用端口,再对提供服务的端口做访问控制。而作为远程管理与维护的人员通常需要开启一些服务端口,如FTP和SSH,这些服务使用大家熟悉的一些端口,长时间开启这些端口,往往是严重的安全隐患。所以需要在必要的时候才开启服务,并只对特定的人提供服务,服务完毕端口恢复关闭...
Port-knocking 简单教程
weixin_30463341的博客
03-07 1176
0. "port knocking" 如字面意思,类似‘敲门’,只是这里敲的是‘端口’,而且需要按照顺序‘敲’端口。如果敲击规则匹配,则可以让防火墙实时更改策略。从而达到开关防火墙的目的。 1. 配置 knockd 服务 cat /etc/knockd.conf [options] UseSyslog [openSSH] sequence = 7000,8000,9000 ...
portknocking(端口试探) demo
moxuansheng的专栏
05-25 1937
一个基本的portknocking demo.server端运行receive程序,初始化iptable,规则清空;client端允许send程序,发送端口试探序列,开启相应的tcp端口。send.c/**//* portknocking demo V0.1 moxuansheng */#include sys/socket.h>#include netinet/ip.h>#include
如何让开放端口更安全
weixin_33690963的博客
07-06 556
如何让开放端口更安全 路由器上开放的端口都是一种安全风险。这也是一种称之为"端口碰撞(port knocking )"技术的价值所在。端口碰撞技术是一种允许访问预先配置好"碰撞"的防火墙服务的技术。所谓的碰撞是由一个尝试访问系统上关闭端口的序列组成。这些尝试要么记录在一个日志中,要么保存在一个后台进程中,通过预先配置这个日志或者进程来监视打开相应端口的序列,如果尝试序...
Enhance Security with Port Knocking
爱.NET
08-22 138
Enhance Security with Port Knocking BY Khurram Shiraz In the field of IT systems security, concept of” port knocking” is relatively new. However with the passage of time, it is getting popular day by ...
Apple:如何在iphone、ipad上安装一些常用命令行命令
stefan321的专栏
09-09 672
Apple:如何在iphone、ipad上安装一些常用命令行命令 相信对Linux、Unix比较熟悉的朋友,在iphone或 ipad越狱后发现通过Cydia可以安装OpenSSH,一定都想安装上并且通过ssh登录上去看看,但是登录后却发现几乎没几个命令可用,也就只有ls、cd等一些常用的命令,至于ifconfig、ping、netstat等都没有。。。 下面就来介绍一下如何让iphone...
找一个发动机故障诊断的python程序
03-02
if sound == "knocking" and smell == "burning": return "Engine rod failure" elif sound == "squealing" and smell == "sweet": return "Problem with coolant system" else: return "Unable to diagnose ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值