通过Knockd隐藏SSH,让黑客看不见你的服务器

最新推荐文章于 2024-08-12 19:30:00 发布
最新推荐文章于 2024-08-12 19:30:00 发布
阅读量871 收藏 33
点赞数 2
文章标签: iptables docker centos linux 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/113210793
版权

出品|MS08067实验室(www.ms08067.com)

本文作者:大方子(Ms08067实验室核心成员)

大方子微信(欢迎骚扰交流):


0X01设备信息

Ubuntu14.04:192.168.61.135

Kali:192.168.61.130

0X02配置过程

先用Kali探测下Ubuntu的端口情况,可以看到Ubuntu的22端口是正常开放的

接下来在Ubuntu上安装Knockd

apt-get install update
apt-get install build-essential -y
apt-get install knockd -y

安装完成后就cat下Knockd的配置/etc/knockd.conf

配置解释:

[options]
UseSyslog //用来定义日志输出位置以及文件名


[openSSH]
sequence = 7000,8000,9000 //设置(开门)敲门顺序,可以自定义
seq_timeout = 5 //设置超时时间
command = /sbin/iptables ‐A INPUT ‐s %IP% ‐p tcp ‐‐dport 22 ‐j ACCEPT //开门成功后添加防火墙规则命令(打开SSH端口)
tcpflags = syn


[closeSSH]
sequence = 9000,8000,7000 //设置(关门)敲门顺序,与开门顺序相反
seq_timeout = 5 //设置超时时间
command = /sbin/iptables ‐D INPUT ‐s %IP% ‐p tcp ‐‐dport 22 ‐j ACCEPT //关门成功后删除之前添加的防火墙规则(关闭SSH端口)
tcpflags = syn

接下来对/etc/knockd.conf进行配置

[options]
#UseSyslog
LogFile = /knock.log #配置日志路径


[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables ‐I INPUT ‐s 192.168.61.130 ‐p tcp ‐‐dport 22 ‐j ACCEPT //这里把A改成I,让knockd插入的规则能够优先生效
tcpflags = syn


[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /sbin/iptables ‐D INPUT ‐s 192.168.61.130 ‐p tcp ‐‐dport 22 ‐j ACCEPT
tcpflags = syn

配置/etc/default/knockd,修改START_KNOCKD=1

然后重启下knockd服务

service knock restart

然后我们在Ubuntu的防火墙上添加几条规则

iptables ‐A INPUT ‐s 192.168.61.1 ‐j ACCEPT //允许宿主机连接,方便实验的时候可以用SSH进行连接
iptables ‐A INPUT ‐s 127.0.0.0/8 ‐j ACCEPT //允许本机的连接
iptables ‐A INPUT ‐j DROP //拒绝其他所有IP的连接

我们在Kali上用nmap对Ubuntu的22端进行探测,可以看到22端口的状态是被过滤了

nmap ‐sC ‐Pn ‐sV ‐p 22 ‐A 192.168.61.135

接下来我们用nmap进行敲门

for x in 7000 8000 9000;do nmap ‐Pn ‐‐max‐retries 0 ‐p $x 192.168.61.135;done

我们再次查看Ubuntu上的防火墙规则,添加了一条关于192.168.61.130的规则

我们再次用Kali进行探测并尝试连接

使用完毕之后,我们再次用nmap进行关门,只需要倒过来敲击各个端口即可

for x in 9000 8000 7000;do nmap ‐Pn ‐‐max‐retries 0 ‐p $x 192.168.61.135;done

再次查看Ubuntu的防火墙规则,可以看到之前关于192.168.61.130的规则已经被删除

此时再次用nmap进行探测以及进行连接都会被拒绝

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

 

 

目前35000+人已关注加入我们

Ms08067安全实验室
关注
SSH协议之实用命令
蔚可云的博客
03-03 559
什么是SSH协议 SSH是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。 SSH只是一种协议,存在多种实现,既有商业实现,也有开源实现。本.
利用fwknop给sshd加一道门,向暴力黑客Say no-way!
suntongo的专栏
12-22 3411
相信不少Linux服务器的机主对各类暴力攻击是深恶痛绝的了,尤其是那些针对sshd的愚蠢黑客,成功率极低还给机主带来不少麻烦。 对付这些拿着毫无技术含量的脚本到处乱撞的低级黑客(在我眼中,称他们为黑客是抬举他们),比较常见的有fail2ban、denyhosts、以及knockd,前两者的原理是通过对日志文件的分析找出攻击者ip,然后设置防火墙屏蔽之,属于被动防御,对于受攻击频率不高的机器还有点
knock-knock:测试默认Knockd配置以识别隐藏的远程服务的脚本
05-10
KnockdEfault评估程序v1.1 作者:贾斯汀·哈钦斯(Justin Hutchens)(Pan0pt1c0n) KnockdEfault评估程序-测试默认端口Knock隐藏操作的周长 感谢Python-libnmap的开发人员 我的博客上的概念证明-http: 关于 这是一个简单的工具,用于确定远程服务器列表是否使用默认的终止端口终止序列来伪装任何服务。 特征 模式1-测试TCP端口22上隐藏SSH服务 此模式速度更快,但不够彻底 出于某些原因,SSH是最常用的隐蔽服务 VPN问题妨碍远程管理时,可以很好地回退 通常用于远程管理未通过VPN管理的云服务 模式2-测试所有65,536个端口是否隐蔽的服务如果任何服务均使用默认端口敲门顺序,则应找到它们 安装 要在Kali Linux上安装,只需运行随附的setup.sh文件。 $ ./setup.sh 用法 用法-./k
LInux - 一文了解 ssh端口敲门knock
最新发布
小工匠
08-12 1842
是一种网络安全措施,用于防止未经授权的访问。通过端口敲门,可以动态地在防火墙上打开指定端口(如SSH端口),仅允许符合特定敲门序列的用户访问。此技术通常用于隐藏重要服务(例如SSH),以防止暴力破解或其他未经授权的攻击。在此配置中,当用户按顺序敲击7000、8000、9000端口时,防火墙会打开22端口SSH端口);反向敲击(9000、8000、7000)则会关闭该端口。工具来实现端口敲门。以Linux系统为例,可以使用。
knockd 实现 ssh安全链接
weixin_34310785的博客
08-26 297
knockd 实现 ssh安全链接 转载于:https://blog.51cto.com/2242558/1545334
linux .ssh隐藏,linux安全配置-将ssh服务隐藏于Internet(端口碰撞)
weixin_42668301的博客
05-12 468
一:设备信息要保护的服务器:ubuntu14.04 192.168.1.38ssh测试机:kali2.0 192.168.1.47二:配置过程1.首先扫描一下未进行knockd配置的服务器端口状况: 由上面可知该服务器开启了SSH端口2.在服务器(192.168.1.38)下载并配置knockd1)安装knockd#apt-get install ...
Vulnhub靶场渗透测试系列DC-9(knockd敲门服务)
qq_45722813的博客
12-12 6672
Vulnhub靶场渗透测试系列DC-9 靶机下载地址:https://www.vulnhub.com/entry/dc-9,412/
掌握必备的25个SSH命令,提升运维效率
2. **端口转发**:`ssh -L`选项允许用户将本地端口映射到远程服务器上的特定端口,如`ssh -NL 2001:localhost:80 somemachine`,用于访问内部服务或隐藏端口。 3. **音频和文件传输**:`nc`(netcat)与SSH结合,如...
Linux下常用的SSH命令
张富强的博客
09-19 3486
SSH全称(SecureSHell)是一种网络协议,顾名思义就是非常安全的shell,主要用于计算机间加密传输。 1、从服务器上下载文件 scp username@servername:/path/filename /var/www/local_dir(本地目录)  例如scp root@192.168.0.101:/var/www/test.txt  把192.168.0.10
sslh隐藏端口
HH_beibei的博客
02-03 641
为例,通过SSLH让 HTTPS 和 SSH 共享同一个端口。测试,检查 SSLH 守护程序是否正在监听 443。通过端口复用来达到隐藏端口的目的。
Linux运维之knockd部署
weixin_51339377的博客
12-27 1433
在基于Debian/Ubuntu/Ubuntu的服务器上,可以使用apt-get命令来安装knockd。要想在指定的IP地址处打开端口22,请在计算机上使用下列命令。使用knockd,你尽可放心:你的SSH服务器是安全的,并且远离使用复杂扫描工具的攻击者。如果你有一台公众可访问的服务器黑客可以轻松扫描其IP地址,查找服务器上的开放端口(尤其是用于SSH端口22)。在你的服务器上,你可以使用nano或Vi。command:这是一旦客户软件的试探序列与序列字段中的模式,执行的命令。
25个最佳SSH命令
热门推荐
智障
11-28 1万+
任何一个系统管理员或站长对SSH都不会陌生,这个伟大的技术免去了我们跑去机房管理服务器,或者在远程连接服务器时时刻担心内容被窃取的心惊胆战。本文将为大家介绍25个最佳的SSH命令,如果您还没用过,那么有必要将它们记录一下。 OpenSSHSSH连接工具的免费版本。telnet、rlogin和ftp用户可能还没意识到他们在互联网上传输的密码是未加密的,但SSH是加密的,OpenSSH加密所有
knockd - 敲敲門, 敲對了就開門
weixin_33910759的博客
09-18 856
FROM: http://jamyy.dyndns.org/blog/2010/08/2596.html目的: 使用 knockd 保護指定埠口 作法: 使用者連線前必須先依序 '敲擊' 指定埠號 (port knocking), knockd 才開放受到保護的埠口 環境: Fedora 10 安裝 knockd cd /tmp wget http://ww...
SSH Iptables访问控制
weixin_34354173的博客
09-23 1203
方法一:在/etc/hosts.allow中添加允许ssh登陆的ip或者网段 sshd:192.168.1.2:allow 或者sshd:192.168.1.0/24:allow在/etc/hosts.deny添加不允许ssh登陆的IPsshd:ALL #ALL表示除了上面允许的,其他的ip 都拒绝登陆ssh方法二:使用iptables。 ip...
knock的安装及使用
weixin_33957648的博客
12-07 1928
下载http://www.invoca.ch/pub/packages/knock/knock-0.5-6.src.rpm 执行rpmbuild --rebuild knock-0.5-6.src.rpm(可能会需要yum install libpcap-devel) 出现如下代码 Wrote: /usr/src/redhat/RPMS/i386/knock-0.5-6...
【Vulnhub靶机】DC-9(端口敲门服务Knockd
过期的秋刀鱼
08-11 613
该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。目前基本上都使用sha-512算法的,但无论是md5还是sha-256都仍然支持;用户名:密码hash值:uid:gid:说明:家目录:登陆后使用的shell。$salt$是加密时使用的salt,hashed才是真正的密码部分;下的一样的格式,保存在pass文件中。参数,读取请求的数据,来爆破数据库
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值