OpenState安装及 Port Knocking 实验

最新推荐文章于 2024-12-07 11:02:04 发布
最新推荐文章于 2024-12-07 11:02:04 发布
阅读量290 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 网络 python
原文链接:http://www.cnblogs.com/Pan-xi-yi/p/10021045.html
本文详细介绍了如何在Ubuntu 16.04环境下安装OpenState,并进行PortKnocking实验。实验通过特定端口序列打开SSH端口22,展示了如何在Mininet环境中配置并测试PortKnocking控制器应用程序。

OpenState安装及 Port Knocking 实验

目录

  • OpenState安装
  • Port Knocking 实验

OpenState安装及 Port Knocking 实验

OpenState安装

1.系统要求:

  • 系统ubuntu 16.04
  • mininet:2.3.0d

2.下载安装文件:

在浏览器中输入即可下载

http://openstate-sdn.org/install.sh

修改下权限,chmod 777 install.sh,将42行及80行的:sudo chown -R mininet:mininet 中的 mininet:mininet 修改为对应的用户。例:笔者用户名为sdn,即更改为sudo chown -R sdn:sdn

3.安装

在install.sh文件目录下执行以下命令,一键安装:

$ sudo ./install.sh
最终输出以下,即安装完成:

echo "All set! To start using OpenState please refer to 
http://openstate-sdn.org for some example applications."

1392414-20181126152946710-318366103.png

Port Knocking 实验

1.通过键入以下命令在Mininet中启动portknock控制器应用程序:

$ ryu-manager ryu/ryu/app/openstate/portknock.py
端口敲击程序由以下端口序列组成,实际打开最后一个端口22的位置,我们必须首先“敲”前面的4个端口。

PORT_LIST = [10, 11, 12, 13, 22]

2.启动Mininet,使用2个主机的单个拓扑:

$ sudo mn --topo single,2 --mac --switch user --controller remote -x

要实际敲打UDP端口,我们将在h1和h2上使用netcat,nc命令介绍。 在h2的终端上运行以下命令(用于监听h2 的22端口):

h2# nc -lu 22

3.在h1的终端上键入以下命令:

socat流量操控

echo "hello" | socat - udp4-datagram:10.0.0.2:22

正如你可以从H2看到的,没有收到数据包。

4.在h1向h2发送udp报文

echo "hello" | socat - udp4-datagram:10.0.0.2:10
echo "hello" | socat - udp4-datagram:10.0.0.2:11
echo "hello" | socat - udp4-datagram:10.0.0.2:12
echo "hello" | socat - udp4-datagram:10.0.0.2:13
echo "hello" | socat - udp4-datagram:10.0.0.2:22

可以看到h2上收到了hello的报文,但是当每次输入稍微慢的时候则会导致即使输入了正确的端口序列,也不能够访问22端口。

1392414-20181126160510380-2073501147.png

使用已经存在的py文件作为拓扑 如果没有controller参数的话,默认mininet自带的控制器
sudo mn --custom ~/mininet/custom/topo-2sw-2host.py. --topo mytopo --mac--switch ovsk --controller remote,ip=127.0.0.1,port=6633

本文转载自:考拉小无

转载于:https://www.cnblogs.com/Pan-xi-yi/p/10021045.html

Linux 的 Port Knocking 端口碰撞(端口敲门)
Reset
08-05 1373
端口碰撞是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确的连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。在Linux中称为 Knockd服务,该服务通过动态的添加iptables规则来隐藏系统开启的端口,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。
portknocking(端口试探) demo
moxuansheng的专栏
05-25 2032
一个基本的portknocking demo.server端运行receive程序,初始化iptable,规则清空;client端允许send程序,发送端口试探序列,开启相应的tcp端口。send.c/**//* portknocking demo V0.1 moxuansheng */#include sys/socket.h>#include netinet/ip.h>#include
Port-knocking 简单教程
weixin_30463341的博客
03-07 1320
0. "port knocking" 如字面意思,类似‘敲门’,只是这里敲的是‘端口’,而且需要按照顺序‘敲’端口。如果敲击规则匹配,则可以让防火墙实时更改策略。从而达到开关防火墙的目的。 1. 配置 knockd 服务 cat /etc/knockd.conf [options] UseSyslog [openSSH] sequence = 7000,8000,9000 ...
Linux on IBM Cloud - Port Knocking
02-12 291
Port knocking 是一种用来减小主机被恶意攻击的手段。可以参考如下链接https://en.wikipedia.org/wiki/Port_knocking Linux 安全加固 1. 部署好的机器, 马上修改密码为强密码, 10位以上, 包括#@等异形字母 2. 监控每个进程的流量, 用nethogs 3. 用APF firewall 扫描 port, 关闭全部, 只允许80,...
OpenState: Programming Platform-independent Stateful OpenFlow Applications Inside the Switch
diwu3940的博客
11-12 437
文章名称:OpenState: Programming Platform-independent Stateful OpenFlow Applications Inside the Switch OpenState:在交换机内部实现编程平台无关的带状态OpenFlow应用程序 发表时间:2018 期刊来源:ACM SIGCOMM Computer Communication Revie...
Port Knocking Door-开源
05-03
基于C的Port Knocking服务器和客户端。 通过封闭端口进行隐身模式,强加密(ARC4和BlowFish),守护程序模式,压缩序列,MD5摘要日志检查,用户密码和用户特权系统,操作触发器... GPL许可证。
KnockKnock - Port Knocking for Windows-开源
05-07
Windows端口敲门。 Windows敲门的实现已开发为可与现有防火墙(免费的CHX-I Packet Filter v3.0)一起使用。
Port knocking for Windows-开源
05-03
**端口敲击(Port Knocking)技术** 端口敲击是一种网络安全技术,它允许用户在不公开服务的情况下,通过特定顺序的TCP或UDP连接请求(即“敲击”特定端口)来唤醒隐藏的服务。这种方法增加了网络的安全性,因为...
Windows Port Knocking-开源
08-07
在压缩包"WINPK-PreAlpha 1.3"中,我们可以推测这包含了Windows Port Knocking的早期版本源代码和可能的安装或配置文件。预alpha版本通常代表软件仍处于开发的早期阶段,可能含有错误,不推荐在生产环境中使用。不过...
DC-9靶机-简单谈一下端口敲门技术 (Port Knocking)
薛定谔嘚喵博客
05-23 2847
在打靶机DC-9时,爆破SSH时一直显示失败,经过查阅才知道原来是对端口做了“隐藏”,需要通过 Port Knocking 来主动开启,由于平时接触到的机会不多,所以这里简单记录一下,加强一下印象,也希望能帮助到大家。端口敲门是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确地连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。端口敲门的主要目的是。
Enhance Security with Port Knocking
爱.NET
08-22 182
Enhance Security with Port Knocking BY Khurram Shiraz In the field of IT systems security, concept of” port knocking” is relatively new. However with the passage of time, it is getting popular day by ...
[原创]安全系列之端口敲门服务(Port Knocking for Ubuntu 14.04 Server)
weixin_30924087的博客
05-19 1016
Port Knocking for Ubuntu 14.04 Server OS:ubuntu 14.04 server 原理简单分析:   端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提...
让服务器更“隐身”的秘密武器:端口敲门技术
weixin_42587823的博客
12-07 1766
服务器的端口在默认情况下是“关着”的,只有按特定顺序访问一系列端口(即敲门),服务器才会临时打开关键端口,比如 SSH 的 22 端口。通过这种“动态开门”的方式,端口敲门让服务端口更隐秘,大幅降低了被恶意扫描和攻击的风险。端口敲门技术是一个简单又强大的安全工具,适用于各种场景。通过正确的配置,你可以轻松保护 SSH 或其他服务免受恶意扫描和攻击。如果你还没有用过,不妨试试!让你的服务器从此多一层“隐身”技能吧!希望这篇文章对你有所帮助,欢迎在实践中尝试并分享你的经验!
portknocking(端口试探)简介
moxuansheng的专栏
05-25 2790
端口试探(port knocking)是一种通过连接尝试,从外部打开原先关闭端口的方法。一旦收到正确顺序的连接尝试,防火墙就会动态打开一些特定的端口给允许尝试连接的主机。单一数据包认证(Single Packet Authentication),则是通过一个加密数据包,进行一次的端口试探。       端口试探的主要目的是防治攻击者通过端口扫描的方式对主机进行攻击。       端口试
如何让开放端口更安全
weixin_33690963的博客
07-06 596
如何让开放端口更安全 路由器上开放的端口都是一种安全风险。这也是一种称之为"端口碰撞(port knocking )"技术的价值所在。端口碰撞技术是一种允许访问预先配置好"碰撞"的防火墙服务的技术。所谓的碰撞是由一个尝试访问系统上关闭端口的序列组成。这些尝试要么记录在一个日志中,要么保存在一个后台进程中,通过预先配置这个日志或者进程来监视打开相应端口的序列,如果尝试序...
别让黑客轻易入侵:端口敲门,让你的SSH固若金汤!
didiplus
06-28 2600
端口敲门(Port Knocking)是一种安全措施,它通过在防火墙上动态打开端口来允许合法用户访问受保护的服务。具体来说,端口敲门技术要求用户在尝试连接到SSH服务之前,按照预定义的顺序访问一系列隐藏端口。这种技术通过在网络层添加额外的验证步骤,有效地隐藏了实际的服务端口,并减少了被暴力破解的风险。
端口碰撞Port Knocking和单数据包授权SPA
IOsetting的专栏
01-28 441
端口碰撞技术 Port knocking网络安全的角度,服务器开启的端口越多就越不安全,因此系统安全加固服务中最常用的方式,就是先关闭无用端口,再对提供服务的端口做访问控制。而作为远程管理与维护的人员通常需要开启一些服务端口,如FTP和SSH,这些服务使用大家熟悉的一些端口,长时间开启这些端口,往往是严重的安全隐患。所以需要在必要的时候才开启服务,并只对特定的人提供服务,服务完毕端口恢复关闭...
OpenState之 Mac学习 实验
diwu3940的博客
12-02 328
OpenState之 Mac学习 实验 目录 OpenState安装 Port Knocking 实验 Mac Learning 实验 环境要求: 系统ubuntu 14.04 mininet:2.3.0d 已安装OpenState Port Knocking 实验 1.通过键入以下命令在Mininet中启动maclearning控制器应用程序: $ ryu-manager ry...
Port Knocking
最新发布
01-20
### Port Knocking 的安全机制和技术详解 #### 安全机制原理 端口碰撞(Port Knocking)作为一种网络安全技术,旨在防止未经授权的访问。其核心理念在于隐藏服务端口直到接收到特定序列的数据包请求为止。这种方式使得常规的端口扫描无法发现这些被保护的服务,从而提高了安全性[^1]。 为了进一步增强防护效果,在实际部署过程中通常会结合其他措施一起使用,例如限制源 IP 地址范围内的合法连接尝试、设置复杂的敲门序列以及缩短有效时间窗口等策略来减少潜在风险。 #### 实现方式概述 端口碰撞的具体实施依赖于两个主要组件: - **守护进程 (Daemon)**:安装并运行在一个受保护的目标机器上,负责监听来自外界的所有网络流量,并识别出符合预定模式的一系列连续到达的不同端口号。 - **客户端工具**:由希望获得临时授权进入内部系统的用户所持有,用来按照指定顺序向目标服务器发送一系列精心设计好的 TCP 或 UDP 数据报文作为“敲门”。 一旦守护程序检测到了正确的敲击次序,便会触发相应动作——通常是修改防火墙规则以开放某些先前封闭着的服务入口;而在一段时间过后如果没有继续匹配成功的后续事件发生,则自动恢复初始状态即重新封锁那些曾经短暂暴露出来的资源接口[^2]。 ```bash # 使用Kali Linux中的knock命令进行端口碰撞的例子 knock 192.168.113.138 7482 8279 9467 -v ``` 这段代码展示了如何利用 `knock` 工具发起针对某台位于局域网内设备(假设IP地址为192.168.113.138)上的三次不同端口探测活动,其中 `-v` 参数表示启用详细的日志记录功能以便观察整个过程的状态变化情况。 #### 技术优势与局限性分析 采用此方法能够有效地抵御大部分基于简单枚举算法构建而成的大规模自动化攻击手段,因为后者往往缺乏足够的灵活性去适应每种独特的验证流程要求。然而值得注意的是,尽管这种方法增加了入侵者的难度,但它并不能完全消除所有威胁因素的存在可能性。例如,如果攻击者成功截获了真实的通信流或猜出了正确的敲门组合,仍然可能绕过这项防御屏障。 此外,考虑到每次交互都需要额外的时间成本用于完成多阶段的身份确认环节,这可能会对用户体验造成负面影响特别是在高并发场景下更为明显。因此,在决定是否引入此类方案之前应当充分权衡利弊得失,并考虑将其与其他更成熟的认证机制相结合起来共同发挥作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值