0. "port knocking"
如字面意思,类似‘敲门’,只是这里敲的是‘端口’,而且需要按照顺序‘敲’端口。如果敲击规则匹配,则可以让防火墙实时更改策略。从而达到开关防火墙的目的。
1. 配置 knockd 服务
cat /etc/knockd.conf
[options]
UseSyslog
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
配置文件里有两个参数:
- sequence 按照顺序依次访问端口,command执行的条件。比如这里是依次访问7000, 8000, 9000端口,默认使用TCP访问。
- command 当knockd监测到sequence端口访问完成,然后执行此处command,这里为通过iptables开启关闭ssh外部访问。
2. 构造knock sequence
1. 直接手工构造
- 打开 SSH iptables
telnet <target> 7000
telnet <target> 8000
telnet <target> 9000
- 关闭 SSH iptables
telnet <target> 9000
telnet <target> 8000
telnet <target> 7000
2. 使用knock程序
开启
knock <target> 7000 8000 9000
关闭
knock <target> 9000 8000 7000
3. NC 或者 Nmap
Open:
nc -z <target> 7000 8000 9000
Close:
nc -z <target> 9000 8000 7000
for x in 7000 8000 9000; do nmap -Pn --host_timeout 201 --max-retries 0 -p $x <target> ; done
3. 其他
Port-knocking 并不能作为一种独立的安全防御措施,因为它属于security by obscurity。