使用 eBPF 实现端口隐藏功能

于 2025-05-15 00:03:06 发布
阅读量463 收藏 4
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 安全 加固 等保 文章标签: eBPF 端口隐藏 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjj_web/article/details/147965835

使用 eBPF 实现端口隐藏功能

端口隐藏是一种网络安全技术,通过使某些端口对网络扫描不可见来增强系统安全性。以下是使用 eBPF 实现端口隐藏的详细方案:

一、技术原理

eBPF (特别是 XDP 和 TC 钩子) 可以在网络数据包到达内核协议栈前进行处理,通过丢弃特定端口的探测包实现端口隐藏效果:

  1. XDP (eXpress Data Path) - 在网络驱动层处理数据包,性能最高
  2. TC (Traffic Control) - 在网络协议栈入口/出口处理,功能更丰富
  3. Socket Filter - 监控特定socket事件

二、XDP 实现方案

1. 基础端口隐藏实现

// port_stealth.c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <linux/udp.h>

SEC("xdp")
int hide_port(struct xdp_md *ctx) {
    void *data_end = (void *)(long)ctx->data_end;
    void *data = (void *)(long)ctx->data;

    // 解析以太网头
    struct ethhdr *eth = data;
    if (eth + 1 > data_end) return XDP_PASS;

    // 只处理IPv4
    if (eth->h_proto != htons(ETH_P_IP)) return XDP_PASS;

    // 解析IP头
    struct iphdr *ip = data + sizeof(*eth);
    if (ip + 1 > data_end) return XDP_PASS;

    // 处理TCP包
    if (ip->protocol == IPPROTO_TCP) {
        struct tcphdr *tcp = (void *)ip + sizeof(*ip);
        if (tcp + 1 > data_end) return XDP_PASS;
        
        // 定义要隐藏的端口 (示例: 22, 3306, 6379)
        __be16 hidden_ports[] = {htons(22), htons(3306), htons(6379)};
        
        // 检查目标端口是否在隐藏列表中
        for (int i = 0; i < sizeof(hidden_ports)/sizeof(hidden_ports[0]); i++) {
            if (tcp->dest == hidden_ports[i]) {
                // 丢弃SYN探测包 (不响应端口扫描)
                if (tcp->syn && !tcp->ack) {
                    return XDP_DROP;
                }
            }
        }
    }
    
    // 处理UDP包 (类似逻辑)
    if (ip->protocol == IPPROTO_UDP) {
        // ... UDP端口隐藏实现 ...
    }

    return XDP_PASS;
}

char _license[] SEC("license") = "GPL";

2. 动态端口管理

通过BPF映射实现运行时端口配置更新:

// 定义BPF映射存储隐藏端口
struct {
    __uint(type, BPF_MAP_TYPE_HASH);
    __uint(max_entries, 64);
    __type(key, __be16);    // 端口号
    __type(value, __u8);    // 标志位
} hidden_ports SEC(".maps");

SEC("xdp")
int hide_port_dynamic(struct xdp_md *ctx) {
    // ... 前面的解析代码相同 ...
    
    if (ip->protocol == IPPROTO_TCP) {
        struct tcphdr *tcp = (void *)ip + sizeof(*ip);
        if (tcp + 1 > data_end) return XDP_PASS;
        
        // 检查端口是否在动态隐藏列表中
        __u8 *hidden = bpf_map_lookup_elem(&hidden_ports, &tcp->dest);
        if (hidden && tcp->syn && !tcp->ack) {
            return XDP_DROP;
        }
    }
    
    return XDP_PASS;
}

三、用户空间控制程序

1. 加载和管理eBPF程序

#!/usr/bin/env python3
from bcc import BPF
import ctypes
import sys

# 加载eBPF程序
bpf = BPF(src_file="port_stealth.c")
fn = bpf.load_func("hide_port_dynamic", BPF.XDP)

# 附加到网络接口
device = sys.argv[1] if len(sys.argv) > 1 else "eth0"
bpf.attach_xdp(device, fn, 0)

# 端口管理函数
def add_hidden_port(port):
    key = ctypes.c_ushort(port)
    val = ctypes.c_ubyte(1)
    bpf["hidden_ports"][ctypes.pointer(key)] = ctypes.pointer(val)

def remove_hidden_port(port):
    key = ctypes.c_ushort(port)
    del bpf["hidden_ports"][ctypes.pointer(key)]

# 示例: 隐藏SSH端口
add_hidden_port(22)

print("Port hiding active. Ctrl+C to stop")
try:
    while True:
        pass
except KeyboardInterrupt:
    bpf.remove_xdp(device, 0)

2. 高级管理功能

# 与Redis集成实现动态规则
import redis

r = redis.Redis(host='localhost', port=6379)

def update_rules():
    # 从Redis获取最新隐藏端口列表
    hidden = r.smembers("hidden_ports")
    
    # 清空当前规则
    bpf["hidden_ports"].clear()
    
    # 添加新规则
    for port in hidden:
        add_hidden_port(int(port))

# 定期更新规则
import time
while True:
    update_rules()
    time.sleep(10)

四、高级隐藏技术

1. 条件性隐藏

// 只对非授权IP隐藏端口
struct {
    __uint(type, BPF_MAP_TYPE_LPM_TRIE);
    __uint(max_entries, 1024);
    __type(key, struct ipv4_key);
    __type(value, __u8);
    __uint(map_flags, BPF_F_NO_PREALLOC);
} allowed_ips SEC(".maps");

struct ipv4_key {
    __u32 prefix_len;
    __u32 ip;
};

SEC("xdp")
int conditional_hide(struct xdp_md *ctx) {
    // ... 解析IP和TCP头 ...
    
    // 检查源IP是否在允许列表中
    struct ipv4_key key = {.prefix_len = 32, .ip = ip->saddr};
    if (bpf_map_lookup_elem(&allowed_ips, &key)) {
        return XDP_PASS; // 允许访问
    }
    
    // 否则执行端口隐藏逻辑
    // ...
}

2. 端口敲门(Port Knocking)

// 记录敲门状态
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, 1024);
    __type(key, __u32);    // IP地址
    __type(value, __u64);  // 时间戳和状态
} knock_status SEC(".maps");

SEC("xdp")
int port_knocking(struct xdp_md *ctx) {
    // ... 解析IP和TCP头 ...
    
    // 检查敲门序列
    if (tcp->dest == htons(1001)) {
        // 记录第一次敲门
        __u64 *status = bpf_map_lookup_elem(&knock_status, &ip->saddr);
        if (!status) {
            __u64 new_status = (bpf_ktime_get_ns() << 16) | 0x1;
            bpf_map_update_elem(&knock_status, &ip->saddr, &new_status, BPF_ANY);
        }
        return XDP_DROP;
    }
    
    // 检查后续敲门
    // ...
    
    // 检查是否完成正确敲门序列
    if (check_knock_sequence(ip->saddr)) {
        // 临时允许访问隐藏端口
        return XDP_PASS;
    }
    
    // 默认隐藏端口
    if (is_hidden_port(tcp->dest)) {
        return XDP_DROP;
    }
    
    return XDP_PASS;
}

五、部署注意事项

  1. 性能优化

    • 对高频访问的端口规则使用BPF_MAP_TYPE_LRU_HASH
    • 避免在XDP路径中进行复杂计算
    • 考虑使用BPF尾调用处理复杂逻辑

  2. 安全性增强

    • 保护BPF映射不被非授权访问
    • 对用户空间管理程序进行身份验证
    • 记录所有被阻止的访问尝试

  3. 兼容性考虑

    • 检查内核版本和eBPF功能支持
    • 提供回退机制(如iptables备用规则)

六、验证方法

  1. 基础测试

    # 扫描测试
nmap -p 22,80,3306 目标IP

# 连接测试
telnet 目标IP 22

  2. 性能测试

    # 使用iperf测试网络性能影响
iperf -c 目标IP

  3. 高级验证

    • 测试端口敲门序列是否正常工作
    • 验证动态规则更新是否实时生效
    • 测试条件性隐藏规则

七、限制和替代方案

eBPF方案限制:

  1. 需要Linux内核4.15+
  2. 对UDP端口隐藏效果有限
  3. 无法隐藏本地端口信息(如netstat)

替代方案:

  1. iptablesiptables -A INPUT -p tcp --dport 22 -j DROP
  2. nftables:更现代的防火墙方案
  3. 内核模块:传统但更复杂的实现方式

总结

使用eBPF实现端口隐藏具有以下优势:

  1. 高性能:在内核网络栈最底层处理,几乎不影响性能
  2. 灵活性:可动态更新隐藏规则和条件
  3. 强隐蔽性:比应用层方案更难被检测和绕过
  4. 可扩展性:易于与其他安全系统集成

这种方案特别适合需要高级端口隐藏能力的安全敏感环境,如蜜罐系统、关键基础设施保护等场景。

你需要掌握eBPF技术的几个理由
LifeIsGood
05-27 52
你需要掌握eBPF技术的几个理由
全栈开发者的Docker安全加固指南
最新发布
AI天才研究院
06-17 1055
当全栈开发者用Docker完成“一行命令部署”的爽快感时,隐藏安全风险可能正在悄悄滋生:镜像里的漏洞、容器的越权操作、网络端口的过度暴露……这些问题可能让你的应用变成“裸奔的服务器”。本文覆盖Docker安全的全生命周期(镜像构建→容器运行→网络配置→数据保护),为开发者提供可落地的加固指南。本文从“为什么需要安全加固”入手,通过生活案例解释Docker核心概念,再拆解“镜像→容器→网络→数据”四大安全防线,最后结合实战案例演示完整加固流程。问题:默认bridge。
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
ROOTKIT 利用hook技术可以隐藏指定的端口 需要以驱动加载的形式把hook加载进内核 这里利用了insdrv工具
hideProc-master.zip_hideproc_端口 隐藏_端口隐藏_隐藏端口_驱动隐藏
07-14
驱动隐藏端口端口隐藏后无法通过系统命令查看。
利用驱动程序隐藏任意进程,目录/文件,注册表,端口
lionzl的专栏
08-27 1221
利用驱动程序隐藏任意进程,目录/文件,注册表,端口2006-07-26 12:27  作者:     来源:     发表时间:2006-05-19     -- 利用驱动程序隐藏任意进程,目录/文件,注册表,端口[转帖]查找进程,目录/文件,注册表等操作系统将最终调用 ZwQueryDirectoryFile,ZwQuerySystemInformation, ZwXXXValueKey 等函数
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
Laravel + eBPF/XDP + Redis + MySQL + Nginx 实现防火墙和端口隐藏方案
深山技术宅的博客
05-14 339
本文介绍了一种基于Laravel、eBPF/XDP、Redis、MySQL和Nginx的高性能防火墙和端口隐藏方案。该方案通过多层技术结合,实现了高效的网络防护功能eBPF/XDP负责内核级数据包过滤,Laravel作为管理界面,Redis用于实时规则存储,MySQL持久化配置和日志,Nginx则增强应用层防护。文章详细描述了各模块的实现步骤,包括XDP防火墙代码、Laravel管理界面、Redis数据结构设计、Nginx配置增强等。此外,还介绍了动态端口敲门和基于行为的自动阻断等高级功能。部署时需考虑性
深入理解 Linux eBPF:一个完整阅读清单(转载)
热门推荐
宋宝华
07-12 2万+
linux eBPF是3.17内核开始引入的一个全新设计,代码目录主要在kernel/bpf 下,它的全称是 extended BPF(eBPF), 目前关于eBPF的资料还比较乱,很难得看到一篇对ebpf总结的那么全的文章,转载自此:
eBPF对TCP listen socket lookup的逻辑进行重定义
TCP/IP
12-20 4752
eBPF让Linux内核(其它OS内核对eBPF的支持,我不清楚,仅谈Linux)本身变得可编程,前面我已经展示了eBPF很多的trick用法,本文我来展示如何让eBPF干涉socket的查找。 我们知道,数据包到达四层后,会进行socket查找,以TCP为例,这个过程在tcp_v4_rcv函数中执行,所谓的查找过程就是一个简单的hash查找,然而hash查找算法的执行过程会随着输入数据的不同而产...
Linux中基于eBPF的恶意利用与检测机制
美团技术团队
04-07 5952
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范?前言现状分析海外资料国内资料eBPF技术恶意利用的攻击原理Linux网络层...
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
01-27
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
免杀驱动 端口隐藏
12-29
免杀驱动
一文解决OpenCloudOS 如何基于 eBPF 实现容器级别的TCP 连接监控?
youzhangjing_的博客
05-29 877
eBPF 是一种在 Linux 内核运行沙箱程序的技术,在无需修改内核源码或者加载内核模块的情况下安全高效地扩展内核功能,可以看作是在内核的一些 hook point 上执行用户代码的一个虚拟机。用户编写的代码被 clang 编译成字节码后加载到 linux 内核,经过 verifier 引擎保证字节码的安全性,然后通过内嵌的 JIT 编译器将字节码转成本地机器码。eBPF 是由事件触发的,当事件到来时,则在内核空间执行用户态 BPF 程序,改变内核的处理流程。
【BPF程序调试深度解析】:揭秘性能瓶颈的隐藏因素
![【BPF程序调试深度解析】:揭秘性能瓶颈的隐藏因素]...本文首先概述了BPF技术的发展背景,并深入探讨了BPF程序的基本原理,包括其数据结构、加载和执行流程,以及工具链的使用。接着,
Python socks库在微服务中的角色:服务间安全通信实现手册
[Python socks库在微服务中的角色:服务间安全通信实现手册](https://opengraph.githubassets.com/61622b3639f2317cc81d731d6a4f3344143b4dc9cf96b3a8fea149b6731dbab8/ssoor/socks) # 1. 微服务架构概述 微服务...
Hook 系统服务隐藏端口
......
01-09 2188
作者: JIURL主页: http://jiurl.yeah.net有时候写程序,调试程序真是一件非常有趣的事,就比如这次,蹦蹦跳跳,笑嘻嘻,意犹未尽的就把这个程序搞好了。netstat 或者其他各种列举端口的工具,比如fport,或者 sysinternals 的 Tcpview,都是调用 Iphlpapi.dll 中的 API 来完成端口的列举。而 Iphlpapi.dll 中的 API 最终
Linux下使用NMap扫描端口与探测系统
"这篇文档介绍了如何使用nmap进行网络扫描和端口探测。nmap是一款强大的网络安全扫描工具,适用于探测网络中的在线主机、开放的端口和服务,以及识别操作系统类型。" nmap是网络管理员和安全专家广泛使用的工具,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值