এটি হল নকড কমান্ড যা আমাদের একাধিক বিনামূল্যের অনলাইন ওয়ার্কস্টেশন যেমন উবুন্টু অনলাইন, ফেডোরা অনলাইন, উইন্ডোজ অনলাইন এমুলেটর বা MAC OS অনলাইন এমুলেটর ব্যবহার করে OnWorks ফ্রি হোস্টিং প্রদানকারীতে চালানো যেতে পারে।
কার্যক্রম:
NAME এর
knockd - পোর্ট-নক সার্ভার
সাইনোপিসিস
knockd [বিকল্প]
বর্ণনাঃ
knockd ইহা একটি পোর্ট-নক সার্ভার এটি একটি ইথারনেট (বা পিপিপি) এর সমস্ত ট্র্যাফিক শোনে
ইন্টারফেস, পোর্ট-হিটগুলির বিশেষ "নক" ক্রম খুঁজছে। একজন ক্লায়েন্ট এই পোর্ট তৈরি করে-
সার্ভারে একটি পোর্টে একটি TCP (বা UDP) প্যাকেট পাঠানোর মাধ্যমে হিট। এই পোর্ট খোলার প্রয়োজন নেই
-- যেহেতু knockd লিংক-লেয়ার লেভেলে শোনে, সেহেতু এটি সমস্ত ট্রাফিক দেখতে পায় যদিও এটি নির্ধারিত হয়
একটি বন্ধ বন্দরের জন্য। যখন সার্ভার পোর্ট-হিটগুলির একটি নির্দিষ্ট ক্রম সনাক্ত করে, তখন এটি একটি চালায়
কমান্ড এর কনফিগারেশন ফাইলে সংজ্ঞায়িত করা হয়েছে। এটি একটি ছিদ্র খুলতে ব্যবহার করা যেতে পারে
দ্রুত অ্যাক্সেসের জন্য ফায়ারওয়াল।
কম্যান্ডলাইন বিকল্প
-আমি, --ইন্টারফেস
শোনার জন্য একটি ইন্টারফেস নির্দিষ্ট করুন৷ ডিফল্ট হয় eth0.
-d, --ডেমন
একটি ডেমন হয়ে উঠুন। এটি সাধারণত সাধারণ সার্ভারের মতো অপারেশনের জন্য পছন্দসই।
-গ, --config
কনফিগার ফাইলের জন্য একটি বিকল্প অবস্থান নির্দিষ্ট করুন। ডিফল্ট হয় /etc/knockd.conf.
-ডি, --ডিবাগ
আউটপুট ডিবাগিং বার্তা.
-আমি, --খুঁজে দেখো
লগ এন্ট্রির জন্য DNS নাম দেখুন। এতে নিরাপত্তা ঝুঁকি হতে পারে! বিভাগ দেখুন নিরাপত্তা
নোট.
-ভি, -- ভারবোস
আউটপুট ভার্বোস অবস্থা বার্তা.
-ভি, --সংস্করণ
সংস্করণটি প্রদর্শন করুন।
-হ, --help
সিনট্যাক্স সাহায্য।
কনফিগারেশন
knockd একটি কনফিগারেশন ফাইল থেকে সমস্ত নক/ইভেন্ট সেট পড়ে। প্রতিটি নক/ইভেন্ট দিয়ে শুরু হয়
একটি শিরোনাম চিহ্নিতকারী, আকারে [নাম], কোথায় নাম ইভেন্টের নাম যা প্রদর্শিত হবে
লগে একটি বিশেষ চিহ্নিতকারী, [বিকল্প], বিশ্বব্যাপী বিকল্পগুলি সংজ্ঞায়িত করতে ব্যবহৃত হয়।
উদাহরণ #1:
এই উদাহরণ দুটি নক ব্যবহার করে। প্রথমটি নকারকে পোর্ট 22 অ্যাক্সেস করার অনুমতি দেবে
(SSH), এবং দ্বিতীয়টি নকার সম্পূর্ণ হলে পোর্ট বন্ধ করবে। আপনি যেমন পারেন
দেখুন, এটি কার্যকর হতে পারে যদি আপনি একটি খুব সীমাবদ্ধ (অস্বীকার নীতি) ফায়ারওয়াল চালান এবং
বিচক্ষণতার সাথে এটি অ্যাক্সেস করতে চাই।
[বিকল্প]
logfile = /var/log/knockd.log
[Openssh]
ক্রম = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
আদেশ = /sbin/iptables -একটি ইনপুট -s % IP% -j স্বীকার করুন৷
[বন্ধ এসএসএইচ]
ক্রম = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
আদেশ = /sbin/iptables -D ইনপুট -s % IP% -j স্বীকার করুন৷
উদাহরণ #2:
এই উদাহরণ পোর্ট 22 (SSH) অ্যাক্সেস নিয়ন্ত্রণ করতে একটি একক নক ব্যবহার করে। পরে
একটি সফল নক প্রাপ্ত হলে, ডেমনটি চালাবে start_command, অপেক্ষা করুন
সময় নির্দিষ্ট cmd_টাইমআউট, তারপর চালান স্টপ_কমান্ড. এই জন্য দরকারী
স্বয়ংক্রিয়ভাবে একটি knocker পিছনে দরজা বন্ধ. নক ক্রম উভয় UDP ব্যবহার করে
এবং TCP পোর্ট।
[বিকল্প]
logfile = /var/log/knockd.log
[SSH খুলুন]
ক্রম = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j স্বীকার করুন
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j স্বীকার করুন
উদাহরণ #3:
এই উদাহরণটি একটি ইভেন্ট ট্রিগার করার জন্য একটি একক, স্থির নক সিকোয়েন্স ব্যবহার করে না, তবে একটি
একটি সিকোয়েন্স ফাইল থেকে নেওয়া সিকোয়েন্সের সেট (এক সময়ের সিকোয়েন্স), দ্বারা নির্দিষ্ট করা
one_time_sequences নির্দেশ প্রতিটি সফল নক পরে, ব্যবহৃত ক্রম হবে
অবৈধ হতে হবে এবং সিকোয়েন্স ফাইল থেকে পরবর্তী ক্রমটি a এর জন্য ব্যবহার করতে হবে
সফল নক। এটি একটি আক্রমণকারীর পরে একটি রিপ্লে আক্রমণ করতে বাধা দেয়
একটি ক্রম আবিষ্কার করা (যেমন, নেটওয়ার্ক শুঁকানোর সময়)।
[বিকল্প]
logfile = /var/log/knockd.log
[ওপেনক্লোজএসএমটিপি]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j স্বীকার করুন
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j স্বীকার করুন
কনফিগারেশন: গ্লোবাল নির্দেশনা
UseSyslog
syslog() এর মাধ্যমে অ্যাকশন বার্তাগুলি লগ করুন। এটি আপনার লগ এন্ট্রি সন্নিবেশ করা হবে
/var/log/messages বা সমতুল্য।
লগ ফাইল = /পথ/টু/ফাইল
একটি ফাইলে সরাসরি লগ অ্যাকশনগুলি, সাধারণত /var/log/knockd.log।
পিডফাইল = /পথ/টু/ফাইল
ডেমন মোডে থাকা অবস্থায় পিডফাইল ব্যবহার করার জন্য, ডিফল্ট: /var/run/knockd.pid।
ইন্টারফেস =
শোনার জন্য নেটওয়ার্ক ইন্টারফেস। শুধু এর নাম দিতে হবে, পথ নয়
ডিভাইস (যেমন, "eth0" এবং "/dev/eth0" নয়)। ডিফল্ট: eth0।
কনফিগারেশন: নক/ইভেন্ট নির্দেশনা
ক্রম = [: [, [: ] ...]
বিশেষ নক-এ পোর্টের ক্রম উল্লেখ করুন। একই সাথে একটি ভুল পোর্ট হলে
পতাকা প্রাপ্ত হয়, নক বাতিল করা হয়. ঐচ্ছিকভাবে, আপনি প্রোটোকল সংজ্ঞায়িত করতে পারেন
প্রতি-পোর্টের ভিত্তিতে ব্যবহার করা হবে (ডিফল্ট হল TCP)।
ওয়ান_টাইম_সিকোয়েন্স = /path/to/one_time_sequences_file
ব্যবহার করা এক সময়ের ক্রম ধারণকারী ফাইল। পরিবর্তে একটি নির্দিষ্ট ব্যবহার
sequence, knockd সেই ফাইল থেকে ব্যবহার করা ক্রমটি পড়বে। প্রতিটির পর
সফল নক প্রচেষ্টা এই ক্রম একটি '#' অক্ষর লিখে নিষ্ক্রিয় করা হবে
ব্যবহৃত ক্রম ধারণকারী লাইনের প্রথম অবস্থানে। যে ক্রম ব্যবহৃত
তারপর ফাইল থেকে পরবর্তী বৈধ ক্রম দ্বারা প্রতিস্থাপিত হবে।
যেহেতু প্রথম অক্ষরটি '#' দ্বারা প্রতিস্থাপিত হয়েছে, তাই আপনাকে ছেড়ে যাওয়ার পরামর্শ দেওয়া হচ্ছে
প্রতিটি লাইনের শুরুতে একটি স্থান। অন্যথায় আপনার নক প্রথম অঙ্ক
এটি ব্যবহার করার পরে একটি '#' দিয়ে ক্রমটি ওভাররাইট করা হবে।
ওয়ান টাইম সিকোয়েন্স ফাইলের প্রতিটি লাইনে ঠিক একটি সিকোয়েন্স থাকে এবং থাকে
জন্য এক হিসাবে একই বিন্যাস ক্রম নির্দেশ একটি '#' দিয়ে শুরু হওয়া লাইনগুলি
চরিত্র উপেক্ষা করা হবে।
বিঃদ্রঃ: নকড চলাকালীন ফাইল এডিট করবেন না!
Seq_Timeout =
সেকেন্ডের মধ্যে একটি ক্রম সম্পূর্ণ হওয়ার জন্য অপেক্ষা করার সময়। যদি সময় আগে অতিবাহিত হয়
নক সম্পূর্ণ, এটা বাতিল করা হয়.
টিসিপি ফ্ল্যাগ = fin|syn|rst|psh|ack|urg
এই পতাকা সেট আছে শুধুমাত্র প্যাকেট মনোযোগ দিন. TCP পতাকা ব্যবহার করার সময়,
knockd টিসিপি প্যাকেটগুলি উপেক্ষা করবে যা পতাকার সাথে মেলে না। এই তুলনায় ভিন্ন
স্বাভাবিক আচরণ, যেখানে একটি ভুল প্যাকেট পুরো নকটিকে বাতিল করে দেবে,
ক্লায়েন্টকে আবার শুরু করতে বাধ্য করা। আপনি যদি হন তবে "TCPFlags = syn" ব্যবহার করা দরকারী
একটি SSH সংযোগের উপর পরীক্ষা করা হচ্ছে, কারণ SSH ট্রাফিক সাধারণত হস্তক্ষেপ করবে (এবং
এইভাবে অকার্যকর) নক।
একাধিক পতাকা কমা দিয়ে আলাদা করুন (যেমন, TCPFlags = syn,ack,urg)। পতাকা হতে পারে
একটি "!" দ্বারা স্পষ্টভাবে বাদ দেওয়া হয়েছে (যেমন, TCPFlags = syn,!ack)।
স্টার্ট_কমান্ড =
ক্লায়েন্ট সঠিক পোর্ট-নক করলে যে কমান্ডটি কার্যকর করা হবে তা নির্দিষ্ট করুন। সব
উদাহরণস্বরূপ %আইপি% নকারের আইপি ঠিকানা দিয়ে প্রতিস্থাপিত হবে। দ্য আদেশ
নির্দেশিকা হল একটি উপনাম স্টার্ট_কমান্ড.
Cmd_টাইমআউট =
মাঝে অপেক্ষা করার সময় স্টার্ট_কমান্ড এবং স্টপ_কমান্ড সেকেন্ডের ভিতর. এই নির্দেশনা
ঐচ্ছিক, শুধুমাত্র যদি প্রয়োজন হয় স্টপ_কমান্ড ব্যবহৃত হয়.
স্টপ_কমান্ড =
কমান্ড কখন কার্যকর করা হবে তা উল্লেখ করুন Cmd_টাইমআউট সেকেন্ড কেটে গেছে
স্টার্ট_কমান্ড মৃত্যুদন্ড কার্যকর করা হয়েছে। সব দৃষ্টান্ত %আইপি% সঙ্গে প্রতিস্থাপিত হবে
নকারের আইপি ঠিকানা। এই নির্দেশ ঐচ্ছিক.
নিরাপত্তা নোট
উপরের -l or --খুঁজে দেখো লগ এন্ট্রির জন্য DNS নামগুলি সমাধান করার জন্য কমান্ডলাইন বিকল্প হতে পারে একটি
নিরাপত্তা ঝুঁকি! একজন আক্রমণকারী একটি সিকোয়েন্সের প্রথম পোর্ট খুঁজে বের করতে পারে যদি সে নিরীক্ষণ করতে পারে
চলমান হোস্টের DNS ট্রাফিক নকড। এছাড়াও একটি হোস্ট স্টিলথ বলে মনে করা হয় (যেমন,
ACK + RST প্যাকেটের সাথে উত্তর দেওয়ার পরিবর্তে প্যাকেটগুলি বন্ধ TCP পোর্টে ফেলে দেওয়া হতে পারে)
যদি কোনো আক্রমণকারী প্রথম (অজানা) পোর্টে আঘাত করতে সক্ষম হয় তবে একটি DNS নাম সমাধান করে নিজেই দূরে
একটি ক্রম
onworks.net পরিষেবা ব্যবহার করে knockd অনলাইন ব্যবহার করুন
