端口碰撞技术让开放端口更安全

2016-01-29 16:31 6 1 收藏

端口碰撞技术让开放端口更安全,端口碰撞技术让开放端口更安全

【 tulaoshi.com - 防火墙的作用 】

所有在防火墙和路由器上开放的端口都是一种安全风险。这也是一种称之为"端口碰撞(port knocking )"技术的价值所在。端口碰撞技术是一种允许访问预先配置好"碰撞"的防火墙服务的技术。所谓的碰撞是由一个尝试访问系统上关闭端口的序列组成。这些尝试要么记录在一个日志中,要么保存在一个后台进程中,通过预先配置这个日志或者进程来监视打开相应端口的序列,如果尝试序列与预先设置的序列相符合,就可以打开某个端口。 
  通过这种方式可以让一个端口在需要的时候才打开,从而具有一定的技术优势。对于黑客来说,很难在远程利用处于关闭状态端口的相关服务来攻击系统。例如,对于远程管理来说,在一个公开的服务器上开放SSH服务是很方便的,但是这也使得系统允许任何人都有可能尝试访问该系统。当然,对于这个端口的访问,你可以给定一个IP地址范围的限制,但是这样一来,还是带来了安全问题和访问挑战方面的问题。端口碰撞技术让你在这两个方面都会处理的很好:在大多数时间里,这个端口都是关闭的,但是知道这种方法的可以在任何时候任何地方打开这个端口。 

  概述

  由于有些大家都很熟悉的服务存在一定的安全方面的问题,因此,大多数的的安全破坏都是从外网利用这些安全问题来实现的。FTP和SSH使用的是大家都很熟悉的端口,因此长期以来,这些服务一直都存在着各种各样的攻击方法。而在大多数情况下,这些服务都是让内部用户来使用的,因此内部用户是使用端口碰撞技术的主要候选人。 

  很显然,对于那些你需要公开的访问服务,例如HTTP和SMTP服务,端口碰撞技术则不适合用于这种场合。因为网页服务和电子邮件服务需要允许来自任何地方的连接。然而,对于所有其他的服务来说,最好的实际操作是将所有非必须的端口都关闭。因而,从存在安全方面的问题的角度来考虑,象SSH这样一种非常有用的服务也常常需要处于关闭状态。 

  这就是端口碰撞技术非常有用的地方。首先,通过探测技术是不会发现这种基于端口碰撞技术配置的服务器的。防火墙软件将会自动拒绝所有的端口扫描或者任何直接连接尝试。并且通过选择一系列非连续的端口号来实现端口碰撞(我们将在随后介绍),你可以减轻对安全问题的顾虑,因为一个标准的端口扫描器一般不太可能得到一个正确的碰撞序列。通过使用这种方法,在得到良好的安全性的同时,还可以实现远程访问。 

  你可能会问自己,我为什么需要这种方法?事实上你可能用不上这种技术。这种技术只是增加当前网络的安全性,在可能存在的黑客和需要保护的服务之间创建一个不易觉察的安全层。如果远程用户不知道服务器在监听一个特定的端口,那么你将大大减少通过这个端口危及系统的次数。更进一步地,远程用户不太可能确定服务器是否使用了端口碰撞技术,因此也不太可能来使用暴力尝试来猜测正确地序列。 

  端口碰撞的细节问题

  可以使用不同的方法来配置端口碰撞。你可以使用基于静态端口序列的方式来实现授权访问。例如,服务器可以这样设置,在它按顺序接收到与端口2033、3022、6712、4998、以及4113的连接尝试后,打开TCP端口22。如果服务器接收到一个不正确的序列则关闭该端口,或者使用一个定时器来关闭该端口。监控防火墙日志的后台进程在截获这些被拒绝的尝试后,将在防火墙中增加一个新的防火墙规则来打开必要的端口,授权用户访问该端口。


还可以使用动态配置技术来打开端口。首先,你需要建立一个端口集合,在本文的例子中,我们将使用端口1040到端口1049。通过提供一个开始序列--例如1042、1044、1043--随后,对于你希望打开的端口,你可能还需要给服务器提供相应的接收信息。在序列1042、1044、以及1043后,你需要让服务器知道你想让它打开端口443。之所以采用这种设计,是为了增加打开不同服务器必要端口的灵活性和选项而不需要采用静态配置。 

  加密通信可能也可以增加额外层次的安全性。如果你担心别人嗅探你的数据包或者担心有人盗窃你的碰撞序列的话,采用这种加密方式将非常有益。对于端口碰撞来说,使用加密技术是一种最安全的方法,并且我们将在随后的文章中看到,加密技术是在原型中经常使用的一种方法。 

  使用knockclient和knockdaemon

  Portknocking.org公司已经用Perl语言实现了端口碰撞技术,现在可以从该公司的网站下载这个工具。文件portknocking-0.1.tgz中包含knockclient和knockdaemon两个程序。该版本允许远程用户打开端口0到255,并且自动使用Crypt::Blowfish执行加密工作。你只需要在远程系统上使用必要的命令选项来调用knockclient程序即可。例如,要在远程系统上打开特定IP上的端口22,你可以使用这样的命令:knockclient -client 192.168.0.1 -remote 10.1.42.1 -port 22 -time 0。 

  在这个例子中,我们要打开IP地址为10.1.42.1的服务器上的端口22,并且只允许IP地址为192.168.0.1d的主机与这个

来源:http://www.tulaoshi.com/n/20160129/1498827.html

延伸阅读
标签: PHP
  <?   //Php做的端口嗅探器--可以指定网站和端口 //并返回嗅探结果     function http_request($server, $port) {     $data = "";     $query = "HEAD / HTTP/1.0";     $fp = fsockopen($server, $port); &...
标签: 电脑入门
刚才需要调试程序发现127.0.0.1无法访问了,启动APMServ提示80端口被占用,以前都是用软件查的,现在说下如何用命令查: 开始--运行--cmd 进入命令提示符 输入netstat -ano 即可看到所有连接的PID 之后在任务管理器中找到这个PID所对应的程序如果任务管理器中没有PID这一项,可以在任务管理器中选"查看"-"选择列" 经常,...
eMule如何打开端口   eMule监听在两个端口上,从0.47c版开始它是在第一次开始时随机选择的(早期版本曾默认使用端口4662和4672),可以在选项菜单(见下面的图片)里查看eMule已经选择了哪个端口。也可以在你需要的时候修改那些端口,eMule可以在任何端口工作。 两个端口中,标了A的是TCP端口,B是UDP端口。请注意实际的端口在你...
        Tomcat在启动的时候,都会从D:/Tomcat5.0/conf/server.xml中获得server启动的一些基本信息;在server.xml中,你会看到这个节点,如下所示:     Service name="Catalina"  Connector acceptCount="100" connectionTimeout="20000" disableUpload...
1401=Goldleaf License Manager 1402=Prospero Resource Manager 1403=Prospero Resource Manager 1404=Infinite Graphics License Manager 1405=IBM Remote Execution Starter 1406=NetLabs License Manager 1407=DBSA License Manager 1408=Sophia License Manager 1409=Here License Manager 1410=HiQ License Manager 1411=AudioF...

经验教程

371

收藏

100
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部