通過Knockd隱藏SSH，讓黑客看不見你的服務(wù)器

路人甲Java 2022-08-18 發(fā)布于北京

展開全文

出品｜MS08067實(shí)驗(yàn)室（www.)

本文作者：大方子（Ms08067實(shí)驗(yàn)室核心成員）

0X01設(shè)備信息

??Ubuntu14.04：192.168.61.135
??Kali：192.168.61.130

0X02配置過程

??先用Kali探測下Ubuntu的端口情況，可以看到Ubuntu的22端口是正常開放的

??接下來在Ubuntu上安裝Knockd

apt-get install update
apt-get install build-essential -y
apt-get install knockd -y

??安裝完成后就cat下Knockd的配置/etc/knockd.conf

??配置解釋：

[options]
UseSyslog //用來定義日志輸出位置以及文件名

[openSSH]
sequence = 7000,8000,9000 //設(shè)置（開門）敲門順序，可以自定義
seq_timeout = 5 //設(shè)置超時時間
command = /sbin/iptables ‐A INPUT ‐s %IP% ‐p tcp ‐‐dport 22 ‐j ACCEPT //開門成功后添加防火墻規(guī)則命令（打開SSH端口）
tcpflags = syn

[closeSSH]
sequence = 9000,8000,7000 //設(shè)置（關(guān)門）敲門順序，與開門順序相反
seq_timeout = 5 //設(shè)置超時時間
command = /sbin/iptables ‐D INPUT ‐s %IP% ‐p tcp ‐‐dport 22 ‐j ACCEPT //關(guān)門成功后刪除之前添加的防火墻規(guī)則（關(guān)閉SSH端口）
tcpflags = syn

??接下來對/etc/knockd.conf進(jìn)行配置

[options]
#UseSyslog
LogFile = /knock.log #配置日志路徑

[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables ‐I INPUT ‐s 192.168.61.130 ‐p tcp ‐‐dport 22 ‐j ACCEPT //這里把A改成I,讓knockd插入的規(guī)則能夠優(yōu)先生效
tcpflags = syn

[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /sbin/iptables ‐D INPUT ‐s 192.168.61.130 ‐p tcp ‐‐dport 22 ‐j ACCEPT
tcpflags = syn

??配置/etc/default/knockd，修改START_KNOCKD=1

??然后重啟下knockd服務(wù)

service knock restart

??然后我們在Ubuntu的防火墻上添加幾條規(guī)則

iptables ‐A INPUT ‐s 192.168.61.1 ‐j ACCEPT //允許宿主機(jī)連接，方便實(shí)驗(yàn)的時候可以用SSH進(jìn)行連接
iptables ‐A INPUT ‐s 127.0.0.0/8 ‐j ACCEPT //允許本機(jī)的連接
iptables ‐A INPUT ‐j DROP //拒絕其他所有IP的連接

??我們在Kali上用nmap對Ubuntu的22端進(jìn)行探測，可以看到22端口的狀態(tài)是被過濾了

nmap ‐sC ‐Pn ‐sV ‐p 22 ‐A 192.168.61.135

??接下來我們用nmap進(jìn)行敲門

for x in 7000 8000 9000;do nmap ‐Pn ‐‐max‐retries 0 ‐p $x 192.168.61.135;done

??我們再次查看Ubuntu上的防火墻規(guī)則，添加了一條關(guān)于192.168.61.130的規(guī)則

??我們再次用Kali進(jìn)行探測并嘗試連接

??使用完畢之后，我們再次用nmap進(jìn)行關(guān)門，只需要倒過來敲擊各個端口即可

for x in 9000 8000 7000;do nmap ‐Pn ‐‐max‐retries 0 ‐p $x 192.168.61.135;done

??再次查看Ubuntu的防火墻規(guī)則，可以看到之前關(guān)于192.168.61.130的規(guī)則已經(jīng)被刪除

??此時再次用nmap進(jìn)行探測以及進(jìn)行連接都會被拒絕

轉(zhuǎn)載請聯(lián)系作者并注明出處！

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：路人甲Java > 《待分類》

舉報/認(rèn)領(lǐng)