این دستور knockd است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
knockd - سرور پورت ناک
خلاصه
در زد [گزینه ها]
شرح
در زد هست یک درگاه ضربه سرور به تمام ترافیک یک اترنت (یا PPP) گوش می دهد.
رابط، به دنبال دنباله های ویژه "تق زدن" از بازدیدهای پورت است. یک مشتری این پورت را می سازد
با ارسال یک بسته TCP (یا UDP) به پورت روی سرور ضربه میزند. این پورت نیازی به باز بودن ندارد
- از آنجایی که knockd در سطح لایه پیوند گوش می دهد، تمام ترافیک را می بیند حتی اگر مقصد باشد
برای یک بندر بسته هنگامی که سرور دنباله خاصی از بازدیدهای پورت را تشخیص می دهد، a را اجرا می کند
دستوری که در فایل پیکربندی آن تعریف شده است. این می تواند برای باز کردن سوراخ ها در a استفاده شود
فایروال برای دسترسی سریع
خط فرمان OPTIONS
-من، --رابط
یک رابط برای گوش دادن مشخص کنید. پیش فرض است eth0.
-د، --اهریمن، دیو
تبدیل به یک دیمون شوید. این معمولا برای عملکرد معمولی سرور مانند مورد نظر است.
-c، - پیکربندی
یک مکان جایگزین برای فایل پیکربندی مشخص کنید. پیش فرض است /etc/knockd.conf.
-دی، - رفع اشکال
خروجی پیام های اشکال زدایی
-ل، --جستجو
جستجوی نام های DNS برای ورودی های گزارش. این ممکن است یک خطر امنیتی باشد! بخش را ببینید امنیت
NOTES.
-v، -- پرحرف
پیام های وضعیت پرمخاطب را خروجی کنید.
-V، - نسخه
نمایش نسخه
-h، --کمک
کمک نحوی
پیکربندی
knockd تمام مجموعههای knock/event را از یک فایل پیکربندی میخواند. هر ضربه / رویداد با شروع می شود
نشانگر عنوان، در فرم [نام]، که در آن نام نام رویدادی است که ظاهر می شود
در گزارش یک نشانگر خاص، [گزینه ها]، برای تعریف گزینه های جهانی استفاده می شود.
مثال #1:
این مثال از دو ضربه استفاده می کند. اولین مورد به کوبنده اجازه دسترسی به پورت 22 را می دهد
(SSH)، و دومی پس از اتمام کوبش، درگاه را می بندد. همانطور که میتوانی
ببینید، اگر یک فایروال بسیار محدود کننده (خط مشی رد) را اجرا کنید، این می تواند مفید باشد
میخواهم با احتیاط به آن دسترسی داشته باشم.
[گزینه ها]
logfile = /var/log/knockd.log
[openSSH]
دنباله = 7000,8000,9000
seq_timeout = 10
tcpflags = همگام سازی
فرمان = /sbin/iptables -A INPUT -s %IP% -j ACCEPT
[بستنSSH]
دنباله = 9000,8000,7000
seq_timeout = 10
tcpflags = همگام سازی
فرمان = /sbin/iptables -D INPUT -s %IP% -j ACCEPT
مثال #2:
این مثال از یک ضربه برای کنترل دسترسی به پورت 22 (SSH) استفاده می کند. بعد از
با دریافت یک ضربه موفقیت آمیز، دیمون کار را اجرا خواهد کرد start_command، منتظر
زمان مشخص شده در cmd_timeout، سپس اجرا کنید stop_command. این مفید است برای
به طور خودکار در را پشت کوبنده ببندید. توالی ضربه از هر دو UDP استفاده می کند
و پورت های TCP
[گزینه ها]
logfile = /var/log/knockd.log
[opencloseSSH]
دنباله = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j ACCEPT
مثال #3:
این مثال از یک توالی ضربه ثابت و منفرد برای راه اندازی یک رویداد استفاده نمی کند، بلکه از a
مجموعه ای از توالی های گرفته شده از یک فایل توالی (توالی های یک بار)، که توسط
one_time_sequences بخشنامه پس از هر ضربه موفقیت آمیز، دنباله استفاده شده خواهد بود
باطل شود و دنباله بعدی از فایل توالی باید برای a استفاده شود
ضربه موفقیت آمیز این مانع از انجام یک حمله مجدد توسط مهاجم می شود
کشف یک دنباله (مثلاً در حین استشمام کردن شبکه).
[گزینه ها]
logfile = /var/log/knockd.log
[opencloseSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin،!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j ACCEPT
پیکربندی: GLOBAL دستورالعمل ها
از syslog استفاده کنید
پیام های اقدام را از طریق syslog() ثبت کنید. با این کار ورودی های ورود به سیستم شما وارد می شود
/var/log/messages یا معادل آن.
ورود به سیستم فایل = /path/to/file
Log اعمال مستقیماً در یک فایل، معمولا /var/log/knockd.log است.
PidFile = /path/to/file
Pidfile برای استفاده در حالت دیمون، پیشفرض: /var/run/knockd.pid.
رابط =
رابط شبکه برای گوش دادن. فقط نام آن باید ذکر شود، نه مسیر رسیدن به آن
دستگاه (به عنوان مثال، "eth0" و نه "/dev/eth0"). پیش فرض: eth0.
پیکربندی: ضربه / رویداد دستورالعمل ها
دنباله = [: ][، [: ] ...]
توالی پورت ها را در ضربه ویژه مشخص کنید. اگر یک پورت اشتباه با همان
پرچم ها دریافت می شود، ضربه دور انداخته می شود. به صورت اختیاری، می توانید پروتکل را تعریف کنید
برای استفاده بر اساس هر پورت (پیشفرض TCP است).
توالی_یک_زمان = /path/to/one_time_sequences_file
فایل حاوی توالی های یک بار استفاده می شود. به جای استفاده از یک ثابت
sequence، knockd دنباله مورد استفاده از آن فایل را می خواند. بعد از هر
تلاش موفقیت آمیز ضربه زدن، این دنباله با نوشتن یک کاراکتر "#" غیرفعال می شود
در موقعیت اول خط حاوی دنباله استفاده شده. که دنباله استفاده می شود
سپس با دنباله معتبر بعدی از فایل جایگزین می شود.
از آنجایی که کاراکتر اول با "#" جایگزین می شود، توصیه می شود که آن را ترک کنید
یک فاصله در ابتدای هر خط. در غیر این صورت اولین رقم در کوبیدن شماست
دنباله پس از استفاده با "#" بازنویسی می شود.
هر خط در فایل توالی های یک زمان دقیقاً حاوی یک دنباله است و دارای آن است
همان قالب برای دنباله بخشنامه خطوطی که با "#" شروع می شوند
شخصیت نادیده گرفته خواهد شد
توجه داشته باشید: در زمانی که knockd در حال اجراست فایل را ویرایش نکنید!
Seq_Timeout =
وقت آن است که منتظر بمانید تا یک سکانس در چند ثانیه کامل شود. اگر زمان قبل از
ضربه کامل است، دور انداخته شده است.
TCPFlags = fin|syn|rst|psh|ack|urg
فقط به بسته هایی که دارای این پرچم هستند توجه کنید. هنگام استفاده از پرچم های TCP،
knockd بستههای tcp را که با پرچمها مطابقت ندارند نادیده میگیرد. این متفاوت از
رفتار عادی، که در آن یک بسته نادرست کل ضربه را باطل می کند،
مجبور کردن مشتری برای شروع دوباره استفاده از "TCPFlags = syn" در صورت وجود مفید است
آزمایش از طریق اتصال SSH، زیرا ترافیک SSH معمولاً با (و
در نتیجه باطل) در زدن.
چندین پرچم را با کاما جدا کنید (به عنوان مثال، TCPFlags = syn، ack، urg). پرچم می تواند باشد
به صراحت با یک "!" (به عنوان مثال، TCPFlags = syn،!ack).
Start_Command =
دستوری را مشخص کنید که زمانی که یک کلاینت پورت-knock صحیح را انجام می دهد، اجرا شود. همه
مواردی از %IP% با آدرس IP کوبنده جایگزین می شود. در فرمان
دستورالعمل یک نام مستعار برای است Start_Command.
Cmd_Timeout =
زمان انتظار بین Start_Command و Stop_Command در چند ثانیه این بخشنامه است
اختیاری است، فقط در صورتی لازم است Stop_Command استفاده می شود.
Stop_Command =
دستوری را که باید اجرا شود را مشخص کنید Cmd_Timeout چند ثانیه از آن زمان گذشته است
Start_Command اعدام شده است. همه موارد از %IP% جایگزین خواهد شد
آدرس IP knocker. این دستورالعمل اختیاری است.
امنیت NOTES
با استفاده از -l or --جستجو گزینه خط فرمان برای حل نام های DNS برای ورودی های ورود ممکن است یک باشد
خطر امنیتی! اگر مهاجم بتواند نظارت داشته باشد، ممکن است اولین پورت یک سکانس را پیدا کند
ترافیک DNS میزبان در حال اجرا ضربه خورد. همچنین میزبانی که قرار است مخفیانه باشد (به عنوان مثال،
رها کردن بسته ها به پورت های TCP بسته به جای پاسخ دادن با بسته ACK+RST) ممکن است باعث شود
اگر مهاجم موفق شود اولین پورت (ناشناخته) را بزند، با حل کردن یک نام DNS از بین میرود
از یک دنباله
با استفاده از خدمات onworks.net از knockd آنلاین استفاده کنید
