Web 端口敲门的奇思妙想

传统的端口敲门
端口敲门是一种特殊的安全认证方案。它没有固定的标准，每个人的实现各不相同。当然，即使没听说过这个名词，不少人也有类似的想法和实现。

例如我曾经使用 Windows 服务器时，一直对远程桌面颇为不满。不是因为这个服务做得不好，相反，是做得太好了，以至于一个不知道账号密码的陌生人试着访问时，都会为它绘制窗口、传输画面，服务太过周到了！攻击者即使猜不到密码，也能白白消耗服务器资源和网络流量。况且，越复杂的程序出现漏洞的可能性越大，万一哪天出现缓冲区溢出之类的漏洞，攻击者不用知道密码也能控制服务器。这太不完美了！

在我看来，认证应该越早越好。对于不知道认证规则的陌生人，甚至 TCP 连接都不值得为它建立！这即利于 系统安全（减少密码爆破、漏洞攻击等风险），又利于 网络安全（减少恶意消耗流量、DDoS 攻击等风险）。

于是写了个简单的防火墙小程序，默认拦截所有 IP。只有当某个 IP 访问了「秘密端口」后，才将其加入白名单，允许进一步通信。这就是一个典型的端口敲门方案，那个访问秘密端口的数据包，便是敲门砖。

当然，仅凭一个端口作为暗号还是有些简陋，很容易被破解，因此需加强。例如使用多个端口、使用特定数据的 UDP 包等等。甚至还可以在数据包中加入更复杂的认证信息，当然这需要通过专门的程序敲门了，而不能简单地使用系统命令手动敲门。

事实上用程序敲门是很常见的方案。例如一些公司要求员工安装某个程序才能访问内网，该程序很可能给网关发送了敲门数据包。

那么，敲门程序是否适用于公网？更进一步，是否能做成 Web 版？

公网 Web 敲门
敲门程序放在公网似乎不太好，毕竟这是一种基于保密的安全方案，细节公开后效果就大打折扣了，除非对程序做很强的混淆保护。

前面提到，敲门有两个意义：保护系统安全、保护网络安全。现在聊聊后者。

接着从之前做防火墙聊起。虽然那只是个玩具级的小程序，但实际效果还不错，并且性能极高（驱动层过滤包）。分享给一些好友试用后，很快就有人思考如何应用到现实中 —— 那些经常被攻击的游戏服务器。

但这并不好实现。总不能要求玩家复制粘贴一堆 cmd 命令手动敲门吧。让玩家下载敲门程序？这相当于是在推广软件，成本不小。除非把敲门程序和登录器捆绑在一起，但这款游戏被魔改的五花八门，登录器各不相同，实现起来很麻烦。

一番摸索后发现，几乎所有的登录器都内嵌网页，显示公告信息之类的。如果实现一个 JS 版的敲门程序，那么直接让管理员插到公告页里就可以，连登录器都不用升级！

TCP/SYN 直接敲门
v1 单端口
第一个实验版本非常简单，甚至都没用上 JS，仅仅敲服务器一个固定端口。

为了隐蔽，URL 里没有暴露服务器 IP，而是用一个指向该 IP 的域名替代，并加上迷惑性路径。

事实上服务器会丢弃 SYN 敲门包，所以连接都无法建立，URL 路径是毫无用途的

试用后效果很好。伪造游戏协议的捣乱机器人 TCP 都建立不了，更别说登录了；即使用 SYN Flood 攻击游戏端口，服务器也是一个