[5] 一篇文章教会你如何实现端口敲门

最新推荐文章于 2024-12-07 11:02:04 发布
原创 最新推荐文章于 2024-12-07 11:02:04 发布
· 1k 阅读 · 14 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #linux #端口敲门 #ssh防护

文章目录

1. 描述

端口敲门技术(Prot Knocking)技术,用于通过一系列预定的端口来动态地打开防火墙或访问特定服务甚至执行一小段任务,用于增强系统地安全性,防止未授权访问。

2. 基本原理

  1. 隐藏服务: 通过关闭服务的默认端口(如 SSH 的 22 端口),并通过敲门技术来隐藏服务,使其不易被发现。
  2. 敲门序列: 用户需要按照特定的顺序向服务器发送连接请求(“敲门”),每个请求对应一个特定的端口。只有在成功发送了正确的敲门序列后,服务器才会打开目标服务的端口。
  3. 防火墙规则:防火墙通过监控端口访问请求来识别敲门序列,一旦检测到正确的序列,防火墙规则会暂时修改,允许来自该用户的连接请求访问特定端口。

3. 优点

  • 安全性: 通过隐藏服务和动态打开端口,增加了未授权访问的难度。
  • 灵活性: 可以根据需要设置敲门序列,提高安全策略的灵活性

4. 缺点

  • 如果攻击者能够监控网络流量,可能会捕捉到敲门序列,从而伪装成合法用户。
  • 每次访问都需要经过敲门过程,可能会导致连接延迟

5. 实现过程

#安全knock服务
yum install -y knock-server
# 检验是否启动成功
systemctl status knockd

安装成功执行systemctl status knockd应该显示这个内容。

image.png

# 设置开启自启动
systemctl enable knockd
# 启动
systemctl start knockd

接下来开始编辑/etc/knockd.conf配置文件,下面这个是默认的配置文件内容

[options]
        UseSyslog

[opencloseSSH]
        sequence      = 2222:udp,3333:tcp,4444:udp
        seq_timeout   = 15
        tcpflags      = syn,ack
        start_command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport ssh -j ACCEPT
        cmd_timeout   = 10
        stop_command  = /sbin/iptables -D INPUT -s %IP% -p tcp --dport ssh -j ACCEPT

介绍一下默认配置:

  • UseSyslog: 启用系统日志功能,用于记录端口敲门时间和相关信息。
  • sequence: sequence = 2222:udp,3333:tcp,4444:udp, 这是敲门序列,定义客户端需要发送请求的端口和协议顺序,只有成功才会开放对应端口。
    • 第一个请求必须发送到UDP的2222端口
    • 第二个请求必须发送到 TCP 的 3333 端口。
    • 第三个请求必须发送到 UDP 的 4444 端口。
  • seq_timeout: 定义敲门序列的超时时间, 指定在什么时间内完成敲门序列的发送。
  • tcpflags:指示哪些 TCP 数据包将被视为有效的敲门请求。
  • start_command: 客户端发送完成的敲门序列之后执行的命令
  • cmd_timeout: start_command和stop_command执行的超时时间
  • stop_command:这个命令会在一定时间后(通常是为防止未授权访问)执行,以防止之前开放的访问权限.

下面这个是修改之后的敲门服务配置,配置了敲门关闭ssh服务端口的序列和开启ssh服务端口的配置。

[options]
        #UseSyslog
        LogFile = /var/log/knockd.log # 日志文件位置
        interface= eth0 # 网络接口

[openSSH]
        sequence      = 9999,10012,10015
        seq_timeout   = 30
        tcpflags      = syn 
        start_command = firewall-cmd --add-service=ssh --permanent;/usr/bin/firewall-cmd --reload
        cmd_timeout   = 10
        stop_command  = firewall-cmd --remove-service=ssh --permanent; /usr/bin/firewall-cmd --reload
[closeSSH]
        sequence      = 10015:tcp,10012:tcp,9999:tcp
        seq_timeout   = 30
        tcpflags      = syn 
        start_command =  firewall-cmd --remove-service=ssh --permanent; /usr/bin/firewall-cmd --reload
        cmd_timeout   = 10

你可以查看通过ip -a查看你电脑和外界通信的ip地址来进行设置文件中的interface的值。

如果你使用的是云服务器的话,别忘记在对应的云控制台,开放你指定端口序列中包含的端口哦,不然就会失败。如下图

image.png

下面这是按照的我配置进行的演示,实际过程中请使用你自己的设置和序列和ip以及端口。在测试过程中,你可以查看你设置的对应日志文件,查看过程。

# 关闭ssh端口 -c 指定次数 -p指定端口
sudo hping3 -S -p 10015 -c 1 ip; ; sudo hping3 -S -p 10012 -c 1 ip ;sudo hping3 -S -p 9999 -c 1 ip
# 开启ssh端口
sudo hping3 -S -p 9999 -c 1 ip ; sudo hping3 -S -p 10012 -c 1 ip ; sudo hping3 -S -p 10015 -c 1 ip

使用hping3 -S 代表只发送SYN包给目的主机对应端口。

6. firewall-cmd命令介绍

firewall-cmd 是用于管理 Linux 防火墙(Firewalld)的命令行工具。Firewalld 是一种动态防火墙管理工具,允许用户在运行时修改防火墙规则,而无需重启服务。firewall-cmd 提供了一种简洁的方式来添加、删除和管理防火墙规则

# 启动 
sudo systemctl start firewalld
# 关闭
sudo systemctl stop firewalld

# 查看状态
firewall-cmd --state
# 列出当前规则
firewall-cmd --list-all
#添加服务 --permanent 代表永久
sudo firewall-cmd --add-service=ssh --permanent
# 移除服务 --permanent 代表永久
sudo firewall-cmd --remove-service=ssh --permanent
## 重新加载配置,更新完规则之后调用
sudo firewall-cmd --reload

# 临时添加端口 只在当前会话中生效
sudo firewall-cmd --add-port=2222/tcp --permanent
# 添加端口
sudo firewall-cmd --add-port=2222/tcp --permanent
# 移除端口
sudo firewall-cmd --remove-port=2222/tcp --permanent

注意事项:

  • 使用 --permanent 参数使更改持久化,即在重启后依然有效。
  • 没有 --permanent 的更改是临时的,只在当前会话中有效。
  • 使用 firewall-cmd 需要相应的权限,通常需要使用 sudo

7. 写到最后

本文主要演示的主要使用端口敲门进行ssh端口的掩藏和开放,其实在start_command你可以设置为任何可用命令,比如设置其它端口80,隐藏和开放,执行每个任务等等。有无限多个利用方式,等你去进行探索。

Linux 的 Port Knocking 端口碰撞(端口敲门
Reset
08-05 1227
端口碰撞是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确的连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。在Linux中称为 Knockd服务,该服务通过动态的添加iptables规则来隐藏系统开启的端口,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。
Web 端口敲门的奇思妙想
m0_65129142的博客
12-17 3186
传统的端口敲门 端口敲门是一种特殊的安全认证方案。它没有固定的标准,每个人的实现各不相同。当然,即使没听说过这个名词,不少人也有类似的想法和实现。 例如我曾经使用 Windows 服务器时,一直对远程桌面颇为不满。不是因为这个服务做得不好,相反,是做得太好了,以至于一个不知道账号密码的陌生人试着访问时,都会为它绘制窗口、传输画面,服务太过周到了!攻击者即使猜不到密码,也能白白消耗服务器资源和网络流量。况且,越复杂的程序出现漏洞的可能性越大,万一哪天出现缓冲区溢出之类的漏洞,攻击者不用知道密码也能控制服务器。
DC-9靶机-简单谈一下端口敲门技术 (Port Knocking)
薛定谔嘚喵博客
05-23 2736
在打靶机DC-9时,爆破SSH时一直显示失败,经过查阅才知道原来是对端口做了“隐藏”,需要通过 Port Knocking 来主动开启,由于平时接触到的机会不多,所以这里简单记录一下,加强一下印象,也希望能帮助到大家。端口敲门是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确地连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。端口敲门的主要目的是。
让服务器更“隐身”的秘密武器:端口敲门技术
最新发布
weixin_42587823的博客
12-07 1646
服务器的端口在默认情况下是“关着”的,只有按特定顺序访问一系列端口(即敲门),服务器才会临时打开关键端口,比如 SSH 的 22 端口。通过这种“动态开门”的方式,端口敲门让服务端口更隐秘,大幅降低了被恶意扫描和攻击的风险。端口敲门技术是一个简单又强大的安全工具,适用于各种场景。通过正确的配置,你可以轻松保护 SSH 或其他服务免受恶意扫描和攻击。如果你还没有用过,不妨试试!让你的服务器从此多一层“隐身”技能吧!希望这篇文章对你有所帮助,欢迎在实践中尝试并分享你的经验!
别让黑客轻易入侵:端口敲门,让你的SSH固若金汤!
didiplus
06-28 2376
端口敲门(Port Knocking)是一种安全措施,它通过在防火墙上动态打开端口来允许合法用户访问受保护的服务。具体来说,端口敲门技术要求用户在尝试连接到SSH服务之前,按照预定义的顺序访问一系列隐藏端口。这种技术通过在网络层添加额外的验证步骤,有效地隐藏了实际的服务端口,并减少了被暴力破解的风险。
打造坚固的SSH防护网:端口敲门入门指南
热门推荐
todoitbo的博客
06-24 1万+
本文将介绍一种有效提升SSH安全性的技术——端口敲门。通过设置特定的端口序列来开启SSH访问,这种方法可以有效防止恶意扫描和暴力破解。文章将详细讲解端口敲门的工作原理、配置步骤及其在实际应用中的注意事项,帮助读者打造更为坚固的SSH防护网。
LInux - 一文了解 ssh端口敲门knock
小工匠
08-12 5603
是一种网络安全措施,用于防止未经授权的访问。通过端口敲门,可以动态地在防火墙上打开指定端口(如SSH端口),仅允许符合特定敲门序列的用户访问。此技术通常用于隐藏重要服务(例如SSH),以防止暴力破解或其他未经授权的攻击。在此配置中,当用户按顺序敲击7000、8000、9000端口时,防火墙会打开22端口SSH端口);反向敲击(9000、8000、7000)则会关闭该端口。工具来实现端口敲门。以Linux系统为例,可以使用。
端口保护——从端口敲门到单包授权
翼安研习社的博客
06-18 2494
作者|司玄 来源| 翼安研习社 发布时间|2021-06-17 0. 背景 为了保证设备的安全性,需要对关键开放端口进行保护。端口隐身是最常见的一种保护方式,可以通过端口敲门(Port Knocking,PK)、单包授权(Single Packet Authorization,SPA)等方式实现端口隐身的核心是防火墙规则,通过丢弃所有到达的数据包来实现隐身。防火墙规则中的丢弃(DROP)与拒绝(REJECT)不同,丢弃状态下防火墙会丢弃数据包并且不发送响应,拒绝状态下防火墙丢弃数据包并向数据包客户.
KnockIt!:敲它! 是MAC OSX的端口敲门工具-开源
05-08
敲它! 是一个免费软件项目,带有用于端口敲除的GUI。 易于使用的界面允许检查所选端口上的服务器可用性,并快速运行端口断开操作。 还没有ICMP。 现在满可可! 干杯。 更新V1.1 UDP添加了更新V1.2“无限”端口以敲入可管理的列表。 仍然免费,没有理由为那么简单的事情付费:)
knock:端口敲门守护程序
05-13
敲门端口敲门实施 Judd 版权所有(c)2004, 关于 这是一个端口断开服务器/客户端。 端口敲门是一种方法,其中服务器可以嗅探其接口之一,以进行特殊的“敲门”顺序命中端口。 当检测到时,它将运行与该端口爆震序列绑定的指定事件。 这些端口命中不需要在开放端口上,因为我们使用libpcap嗅探原始接口流量。 建造 要编译,请确保已安装libpcap和autoconf工具。 然后运行以下命令: $ autoreconf -fi $ ./configure --prefix=/usr/local $ make $ sudo make install 例子 下面的示例可用于运行严格的(DENY策略)防火墙,只有在成功敲除序列后才能对其进行访问。 客户端在以下端口上向服务器发送四个TCP SYN数据包:38281、293​​74、4921、54918 服务器检测到此情况,并运行ipta
Vulnhub DC9靶机之端口敲门
Aiwin的博客
10-08 768
Vulnhub DC9靶机之端口敲门
[原创]安全系列之端口敲门服务(Port Knocking for Ubuntu 14.04 Server)
weixin_30924087的博客
05-19 995
Port Knocking for Ubuntu 14.04 Server OS:ubuntu 14.04 server 原理简单分析:   端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提...
【翻译】用端口敲门绕过防火墙规则并保证安全完整性
Purpleendurer@优快云
08-02 4496
Use port knocking to bypass firewall rules and keep security intact用端口敲门绕过防火墙规则并保证安全完整性by Jonathan Yarden作者:Jonathan Yarden翻译:endurerKeywords: Security | VPNs | Firewalls | Security applications/tools
【Vulnhub靶机】DC-9(端口敲门服务Knockd)
过期的秋刀鱼
08-11 739
该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。目前基本上都使用sha-512算法的,但无论是md5还是sha-256都仍然支持;用户名:密码hash值:uid:gid:说明:家目录:登陆后使用的shell。$salt$是加密时使用的salt,hashed才是真正的密码部分;下的一样的格式,保存在pass文件中。参数,读取请求的数据,来爆破数据库。
零信任SPA端口敲门
键盘的起始页
11-09 3243
差不多2020年9月份研究ATT&CK的时候,做规则覆盖能力,遇到了端口敲击(Port Knocking,PK),当时我设计了检测方案,但是没有做实验来验证,也没有列入开发计划,直到今天2021年2月研究零信任的时候,再次碰到了PK,只不过这次换了个马甲,叫SPA(单包授权认证),终于下定决心来一探究竟~ SPA单包认证,通过wireshark抓包,发现是通过UDP报文敲打服务端的62201端口,然后那个ICMP报文是端口不可达,这是UDP的传输特性,因为它没有三次握手,所以需要借助ICMP来报信
利用TCP重传机制来玩端口敲门服务
TCP/IP
09-09 5827
TCP无法在连接建立之前进行认证,对于无连接的UDP而言,或者也将不能。 TCP有fastopen机制,但并不好用,本文的想法就是基于fastopen的,让第一个SYN包携带数据,然而又不能让它到达TCP层,必须在IP层完成认证。 于是顺势就有了所谓的敲门服务。 敲门的意义旨在避免非法连接的干扰,一来二去的,即便构不成DoS,服务端也需要对非法连接的客户端进行回应,这不但不安全,暴露了开放端口信息,也浪费了带宽资源。 互联网是一个开放的环境, 不要与陌生人说话! 默默地丢掉非法连接比回复一个RST要好很
基于iptables的端口敲门服务流程
sinat_27690807的博客
12-22 1465
为了更好地了解SPA,我们利用liunx系统的iptables工具,来实现端口敲门服务。
一篇教会你写90%的shell脚本
12-06
写一个shell脚本是一种自动化执行命令和任务的好方法。在使用shell脚本时,你可以更快地执行重复性任务,提高工作效率。下面是学习如何写90%的shell脚本的一些步骤: 首先,打开一个文本编辑器,比如说Atom或者...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无限码力

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值