远程先敲门

于 2025-05-06 16:40:03 发布
阅读量285 收藏 5
点赞数 4
CC 4.0 BY-SA版权
文章标签: 远程安全 rdp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjgtmgx/article/details/147742445

背景:

1. 公司用的都是windows系统;

2. 在家办公时常要用到远程桌面连接公司的服务器;

3. 节约成本,不想投入堡垒机;

4. 要求绝对安全的登入服务器。

报怨几句:

1. 想要马儿跑,又不给马儿草,我只能说:草(四声)!

2. 又要能远程,又要安全登陆,为了工资,只能说:好!

开始分析:

1. 只能用windows自带的远程桌面,因为第三方的更不安全,自己写一个又写不出来;

2. 只好用windows的防火墙加白名单功能,这样只要控制了白名单就安全了;

3. 家用宽带外网IP大概48小时就会变动一次的,不可能加一次白名单就完整;

4. 只能用变通的方法,就是在服务器上运行一个服务,当要连接的家用的IP有变化时,修改一下防火墙白名单就行了;

5. 剩下的就是将要连接时怎样在连接前把外网IP通知给服务器?敲门!

解决方法:

1. 在公司的公网上开一个http服务,用于接收敲门的服务,具体的代码如下:

main.go


import (
	"fmt"

	"github.com/Jjmgx/mgxlog"
	"github.com/gin-gonic/gin"
)

var exit = false
var Loger, _ = mgxlog.NewMgxLog("runlog/", 10*1024*1024, 100, 3, 1000) //日志记录

func main() {
	gin.SetMode(gin.ReleaseMode)
	r := gin.New()
	r.NoRoute(func(c *gin.Context) {
		c.String(404, "Page Not Found")
	})
	r.POST("/ipset", ipset)
	r.GET("/ipset", ipset)
	go r.Run(":8080")
	for {
		var cmd string
		fmt.Scanln(&cmd)
		fmt.Println("command:", cmd)
		if cmd == "exit" {
			exit = true
			break
		} else {
			fmt.Println("unknow command")
			fmt.Println("exit exit soft")
		}
	}
}

func ipset(c *gin.Context) {
	code := c.Query("code")
	if len(code) == 0 {
		code = c.PostForm("code")
	}
	dz := c.Query("dz")
	if len(dz) == 0 {
		dz = c.PostForm("dz")
	}
	if dz == "set" {
		cip := c.ClientIP()
		if cipToRedis(code, cip) {
			Loger.Info("setip ok:", code, ":", cip)
			c.String(200, "ok")
			return
		} else {
			Loger.Error("setip err:", code, ":", cip)
		}

	} else if dz == "get" {
		fromip := c.ClientIP()
		if cip, ok := getCipFromRedis(code); ok {
			c.String(200, cip)
			Loger.Info("getip ok:", code, ":", cip, " from:", fromip)
			return
		}
	}
	c.String(400, "page not found.")
}

func getCipFromRedis(code string) (string, bool) {
	re := rc.Get(ctx, "gsetIp_"+code)
	cip, err := re.Result()
	if err != nil {
		Loger.Error(cip, err)
		return cip, false
	}
	return cip, true
}

func cipToRedis(code, cip string) bool {
	re := rc.Set(ctx, "gsetIp_"+code, cip, -1)
	s, err := re.Result()
	if err != nil {
		Loger.Error(s, err)
		return false
	}
	return true
}

rediscli.go


import (
	"context"
	"fmt"
	"runtime"
	"sync"
	"time"

	"github.com/go-redis/redis/v9"
)

var ctx = context.Background()
var lock = &sync.Mutex{} //创建互锁
var redisCluster *redis.ClusterClient
var address = []string{
	"192.168.13.110:6379",
	"192.168.13.113:6379",
	"192.168.13.111:6379",
	"192.168.13.114:6379",
	"192.168.13.112:6379",
	"192.168.13.115:6379",
}
var redispass = "xxxxxxxx"
var rc = GetRc(address, redispass)

func GetRc(address []string, password string) *redis.ClusterClient {
	if redisCluster == nil {
		lock.Lock()
		defer lock.Unlock()
		if redisCluster == nil {
			redisCluster = getRedisCluster(address, password)
			if redisCluster == nil {
				fmt.Println("null 1")
			}
		}
	}
	return redisCluster
}

func getRedisCluster(address []string, password string) *redis.ClusterClient {
	redisCluster := redis.NewClusterClient(&redis.ClusterOptions{
		Addrs:    address,
		Password: password,
		ReadOnly: false,

		//每一个redis.Client的连接池容量及闲置连接数量,而不是clusterClient总体的连接池大小。
		//实际上没有总的连接池而是由各个redis.Client自行去实现和维护各自的连接池。
		PoolSize:     20 * runtime.NumCPU(), // 连接池最大socket连接数,默认为5倍CPU数, 5 * runtime.NumCPU
		MinIdleConns: 10,                    //在启动阶段创建指定数量的Idle连接,并长期维持idle状态的连接数不少于指定数量。

		//命令执行失败时的重试策略
		MaxRetries:      0,                      // 命令执行失败时,最多重试多少次,默认为0即不重试
		MinRetryBackoff: 8 * time.Millisecond,   //每次计算重试间隔时间的下限,默认8毫秒,-1表示取消间隔
		MaxRetryBackoff: 512 * time.Millisecond, //每次计算重试间隔时间的上限,默认512毫秒,-1表示取消间隔

		//超时
		DialTimeout:  5 * time.Second, //连接建立超时时间,默认5秒。
		ReadTimeout:  3 * time.Second, //读超时,默认3秒, -1表示取消读超时
		WriteTimeout: 3 * time.Second, //写超时,默认等于读超时,-1表示取消读超时
		PoolTimeout:  4 * time.Second, //当所有连接都处在繁忙状态时,客户端等待可用连接的最大等待时长,默认为读超时+1秒。

		//IdleTimeout: 5 * time.Minute, //闲置超时,默认5分钟,-1表示取消闲置超时检查
		//MaxConnAge:  0 * time.Second, //连接存活时长,从创建开始计时,超过指定时长则关闭连接,默认为0,即不关闭存活时长较长的连接
	})
	return redisCluster
}

2. 在服务器上运行一个服务,用于将敲门的IP加白,具体代码如下:

main.go


import (
	"fmt"
	"io/ioutil"
	"net/http"
	"os"
	"os/exec"
	"time"

	"github.com/Jjmgx/mgxlog"
	"github.com/kardianos/service"
)

var Loger *mgxlog.MgxLog
var yip = ""

func main() {
	Loger, _ = mgxlog.NewMgxLog("runlog/", 10*1024*1024, 100, 3, 1000)
	svcConfig := &service.Config{
		Name:        "MgxEditFW",     //服务显示名称
		DisplayName: "MgxEditFW",     //服务名称
		Description: "防火墙修改3389远程ip", //服务描述
	}
	prg := &program{}
	s, _ := service.New(prg, svcConfig)

	if len(os.Args) > 1 {
		if os.Args[1] == "install" {
			err := s.Install()
			fmt.Println("服务安装完成:", err)
			return
		}
		if os.Args[1] == "remove" {
			s.Uninstall()
			fmt.Println("服务卸载成功")
			return
		}
	}
	s.Run()

}

type program struct{}

func (p *program) Start(s service.Service) error {
	go p.run()
	return nil
}

func (p *program) Stop(s service.Service) error {
	return nil
}

func (p *program) run() error {
	for {
		work()
		time.Sleep(3 * time.Second)
	}
	return nil
}

func work() {
	resp, err := http.Get("http://ip:8080/ipset?code=yourcode........&dz=get")
	if err != nil {
		Loger.Error(err)
		time.Sleep(time.Second)
		return
	}
	defer resp.Body.Close()
	body, err := ioutil.ReadAll(resp.Body)
	if err != nil {
		Loger.Error(err)
		time.Sleep(time.Second)
		return
	}
	ip := string(body)
	if resp.StatusCode == 200 {
		if ip != "" && ip != yip {
			yip = ip
			cmd := exec.Command(`cmd.exe`, `/c`, `netsh advfirewall firewall set rule name ="3389" new remoteip=`+ip)
			stdout, err := cmd.StdoutPipe()
			if err != nil { //获取输出对象,可以从该对象中读取输出结果
				Loger.Error(err)
				return
			}
			defer stdout.Close()                // 保证关闭输出流
			if err := cmd.Start(); err != nil { // 运行命令
				Loger.Error(err)
			}
			if opBytes, err := ioutil.ReadAll(stdout); err != nil { // 读取输出结果
				Loger.Error(err)
			} else {
				Loger.Info(string(opBytes))
			}
			Loger.Info(ip, " changed")
		}
	}
}

3. 使用时,只要先在浏览器或者或者用curl之类软件,做一次敲门动作,敲门时只要带上自己的唯一标识,服务器自动判断到IP是否发生了改变,如果有改变会自动修改防火墙,然后直接使用远程桌面工具就可以连接到服务器了。

总结一下:

1. golang做这种小应用有点大材小用;

2. 这里使用了redis集群,也是为了学习用,本来只要存文本就行了;

3. Golang是可以开发windows服务程序的,还相当稳定!

4. 记得远程先敲门哟!

九江Mgx
关注
Dubbo 初识:分布式服务的敲门
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
05-18 825
Dubbo 作为一款功能强大、性能卓越、易于使用的分布式服务框架,在分布式系统架构领域具有重要地位。通过对 Dubbo 的核心概念、优势特色、应用场景以及简单应用示例的深入剖析,读者可以对 Dubbo 有一个较为全面的认识与理解。在实际项目开发中,合理运用 Dubbo 可以有效提升系统的可扩展性、高可用性与性能表现,助力企业构建稳定、高效、灵活的分布式应用系统。随着分布式技术的不断发展与演进,Dubbo 也在持续优化与创新,相信它将在未来的分布式架构领域发挥更加重要的作用。
24、端口敲门与单包授权:网络安全新策略
purple的博客
07-27 5
本文介绍了端口敲门和单包授权(SPA)这两种新兴的网络安全策略,探讨了它们如何通过减少攻击面、应对零日攻击等方式增强网络服务的安全性。文章详细分析了端口敲门的工作机制、共享和加密序列的区别,以及SPA相较于端口敲门的优势。同时,还讨论了实施这些技术时需要注意的密钥管理、服务器安全和兼容性等问题,为读者提供了一个全面了解现代网络安全防护手段的视角。
Linux远程管理
2301_82202523的博客
04-30 884
inet 10.1.1.16:代表ens33网卡的IP地址,将来远程连接就是用这个IP。netmask :子网掩码,一般为255.255.255.0。broadcast :广播地址,10.1.1.255。restart :重启。
Web 端口敲门的奇思妙想
m0_65129142的博客
12-17 3194
传统的端口敲门 端口敲门是一种特殊的安全认证方案。它没有固定的标准,每个人的实现各不相同。当然,即使没听说过这个名词,不少人也有类似的想法和实现。 例如我曾经使用 Windows 服务器时,一直对远程桌面颇为不满。不是因为这个服务做得不好,相反,是做得太好了,以至于一个不知道账号密码的陌生人试着访问时,都会为它绘制窗口、传输画面,服务太过周到了!攻击者即使猜不到密码,也能白白消耗服务器资源和网络流量。况且,越复杂的程序出现漏洞的可能性越大,万一哪天出现缓冲区溢出之类的漏洞,攻击者不用知道密码也能控制服务器。
别让黑客轻易入侵:端口敲门,让你的SSH固若金汤!
didiplus
06-28 2506
端口敲门(Port Knocking)是一种安全措施,它通过在防火墙上动态打开端口来允许合法用户访问受保护的服务。具体来说,端口敲门技术要求用户在尝试连接到SSH服务之前,按照预定义的顺序访问一系列隐藏端口。这种技术通过在网络层添加额外的验证步骤,有效地隐藏了实际的服务端口,并减少了被暴力破解的风险。
SSH远程登录
linxinfa的专栏
06-04 839
转载注明出处:点击打开链接 什么是SSH? 简单说,SSH是一种网络协议,用于计算机之间的加密登录。 如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。 最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登
【数字游民】如何成为一名数字游民?(数字游民签证,远程工作,数字税收,银行,电话)
小哈里的博客
06-04 1681
【数字游民】如何成为一名数字游民?(数字游民签证,远程工作,数字税收,银行,电话) 数字游民(英语:Digital Nomad) 它是指通过互联网来移动办公,以支持生活和旅行的一种生活方式。 一般来说,数字游民就是一边旅居一边工作。 当然,如果你是处在人生的探索阶段、Gap Year,或者只是想多去不同的地方看看不同的人,那么在广义上也算数字游民。 数字游民可以是一种生活方式,可以是暂时的一种生活状态。 文章目录 1、住宿:数字游民签证 2、报酬:远程工作与税收 3、生活:银行与电话
计算机毕业设计ssm生活敲门6m8ht系统+程序+源码+lw+远程部署
bishe661的博客
08-27 206
计算机毕业设计ssm生活敲门6m8ht系统+程序+源码+lw+远程部署。JSP手机销售网站的设计与开发access+SQL数据库双数据库。JSP企业客户服务与产品管理系统的设计和实现SQLServer。springboot基于springboot的影视资讯管理系统。springboot基于springboot的家居销售网站。jsp网上花卉销售系统的设计与实现sqlserver。ssm基于VUE.js的保护环境的App的开发与实现。ssm基于Vue的去哪儿玩app的设计与实现。...
SSH建立远程连接
qq_38135115的博客
06-28 1932
SSH远程管理–端口号:22 1.配置OpenSSH服务端 1.1配置SSH及配置文件 openssh服务器由openssh、openssh-server等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。执行“systemctl status sshd.service”即可按默认配置启动sshd服务,包括root在内的大部份用户(只要拥有合法的登录shell)都可以远程登录系统。 sshd服务的配置文件是:/etc/ssh/sshd_config,正确调整相关配置项,可以进一步提高sshd远程
远程神器MobaXterm使用技巧大全,建议收藏!
网络技术联盟站
03-04 675
远程连接工具早已成为程序员、系统管理员、网络工程师,甚至是普通用户的“吃饭家伙”。而今天要给大家隆重介绍的,就是一款被无数人奉为“远程神器”的软件——MobaXterm!🌟 它不仅功能强大,还简单易用,支持SSH、文件传输、X11转发等多种操作,甚至还能让你在Windows上轻松玩转Unix命令。无论是新手小白还是老司机,这款工具都能让你爱不释手。💖MobaXterm,简单来说,就是一款专为Windows用户打造的远程连接工具。
敲门即可解锁-项目开发
03-30
通过1Sheeld的远程控制功能,用户还可以在远离家门的情况下测试或更改敲门模式,增加了系统的灵活性。同时,由于敲门模式的私密性,这也可以提供额外的安全保障。 在项目实施过程中,你将学习到如何配置Arduino开发...
初中语文文摘生活等你敲门
09-10
5. **远程访问**:“你能自己打开门,却有意敲门”,这反映了现代科技中的远程访问概念,用户在进入系统前通常需要身份验证,就像敲门得到允许后再进入。 6. **变化与适应**:“小屋被移置到原野,移置到沙漠,...
深入解析 C++ 中的 iostream 模块
最新发布
08-05
资源下载链接为: https://pan.quark.cn/s/9648a1f24758 我们一直以来都在使用 C++ 的输入输出功能进行各种练习。这些输入输出功能是由 iostream 库提供的,因此有必要对这个标准库进行讨论。它与 C 语言的 stdio 库不同,iostream 库从一开始就是通过多重继承和虚拟继承构建的面向对象的层次结构,并作为 C++ 标准库的一部分提供给程序员使用。iostream 库为内置类型对象提供了输入输出支持,同时也支持文件的输入输出。此外,类的设计者可以通过扩展 iostream 库,使其能够支持自定义类型的输入输出操作。那么,为什么需要通过扩展才能为自定义类型提供支持呢?
FPGA设计工具Quartus II 11.0使用教程
08-05
Quartus II 11.0是Altera公司推出的一款FPGA设计工具,适用于数字系统的设计、验证与实现。本教程介绍其基础知识和使用技巧,帮助初学者快速上手。Quartus II是Altera的主要开发环境,提供从设计输入到硬件编程的完整流程,包括逻辑综合、仿真、时序分析、引脚分配和配置等。11.0版本在性能和效率方面进行了多项优化。安装时需下载并解压“Quartus_II_11.0.rar”,按向导安装后启动。创建项目时,选择设备和开发板,命名并保存。添加源文件如VHDL或Verilog代码及IP核。设计输入使用文本编辑器编写HDL代码,需注意模块定义、信号声明和算法描述。编译时配置选项并执行“Build Design”,随后进行功能仿真,检查逻辑正确性。编译后自动进行时序分析,生成报告,并通过调整时钟偏移和优化逻辑提升性能。引脚分配需与硬件匹配,生成配置文件并通过JTAG或SPI编程。11.0版本新增了高速接口IP核支持,如PCI Express和Serial ATA,引入更强大的Qsys工具,提升综合速度和资源利用率。Quartus II 11.0功能强大,适合复杂数字系统开发。本资源来源于网络分享,仅用于学习交流,禁止用于商业用途,如有侵权请联系删除。
四桥臂三相逆变器动态电压恢复器 MATLAB仿真
08-05
四桥臂三相逆变器动态电压恢复器MATLAB仿真模型简介。资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
8R带避障的冗余机械臂.zip
08-05
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于S3C2440硬件平台与Linux34系统的激光打靶自动识别系统_使用UVC兼容USB摄像头采集绿色背景胸环靶图像_通过图像处理算法实时计算弹着点环数并通过串口发送至STM3.zip
08-05
基于S3C2440硬件平台与Linux34系统的激光打靶自动识别系统_使用UVC兼容USB摄像头采集绿色背景胸环靶图像_通过图像处理算法实时计算弹着点环数并通过串口发送至STM3.zip
电缆驱动并联机器人.zip
08-05
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
fs12008.pdf
08-05
fs12008.pdf
ssh远程连接电脑
03-08
### 使用 SSH 协议远程连接至电脑 对于位于局域网内的计算机,由于通常不具备公网 IP 地址而难以直接访问。当采用 PPPoE 方式接入互联网时,这进一步增加了直接建立外部连接的复杂度[^1]。 #### 方法一:利用具备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值