Jest to polecenie knockd, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
knockd - serwer pukający do portów
STRESZCZENIE
zapukał [opcje]
OPIS
zapukał jest pukanie do portu serwer. Nasłuchuje całego ruchu w sieci Ethernet (lub PPP)
interfejs, szukając specjalnych sekwencji uderzeń w port. Klient tworzy te porty
trafienia poprzez wysłanie pakietu TCP (lub UDP) do portu na serwerze. Ten port nie musi być otwarty
-- ponieważ knockd nasłuchuje na poziomie warstwy łącza, widzi cały ruch, nawet jeśli jest przeznaczony
dla zamkniętego portu. Gdy serwer wykryje określoną sekwencję trafień portów, uruchamia plik a
polecenie zdefiniowane w jego pliku konfiguracyjnym. Można to wykorzystać do otwarcia otworów w
zapora zapewniająca szybki dostęp.
WIERSZ POLECEŃ OPCJE
-ja, --berło
Określ interfejs do nasłuchiwania. Wartość domyślna to eth0.
-D, --demon
Zostań demonem. Jest to zwykle pożądane w przypadku normalnej pracy podobnej do serwera.
-C, --konfig
Określ alternatywną lokalizację pliku konfiguracyjnego. Wartość domyślna to /etc/knockd.conf.
-D, --odpluskwić
Wyjściowe komunikaty debugowania.
-ja, --spojrzeć w górę
Wyszukaj nazwy DNS dla wpisów dziennika. Może to stanowić zagrożenie dla bezpieczeństwa! Patrz sekcja BEZPIECZEŃSTWO
UWAGI.
-v, --gadatliwy
Wysyłaj szczegółowe komunikaty o stanie.
-V, --wersja
Wyświetl wersję.
-H, --help
Pomoc dotycząca składni.
KONFIGURACJA
knockd odczytuje wszystkie zestawy knock/event z pliku konfiguracyjnego. Każde pukanie/zdarzenie zaczyna się od
znacznik tytułu w formie [nazwa], Gdzie Nazwa to nazwa wydarzenia, które się pojawi
w dzienniku. Specjalny znacznik, [opcje], służy do definiowania opcji globalnych.
Przykład # 1:
W tym przykładzie zastosowano dwa uderzenia. Pierwszy pozwoli pukaczowi uzyskać dostęp do portu 22
(SSH), a drugi zamknie port po zakończeniu pukania. Jeśli możesz
widzisz, może to być przydatne, jeśli uruchomisz bardzo restrykcyjną zaporę ogniową (zasada DENY) i
chciałby uzyskać do niego dyskretny dostęp.
[opcje]
plik dziennika = /var/log/knockd.log
[openSSH]
sekwencja = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
polecenie = /sbin/iptables -A WEJŚCIE -s %IP% -j AKCEPTUJ
[zamknijSSH]
sekwencja = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
polecenie = /sbin/iptables -D WEJŚCIE -s %IP% -j AKCEPTUJ
Przykład # 2:
W tym przykładzie zastosowano pojedyncze pukanie do kontrolowania dostępu do portu 22 (SSH). Po
po udanym zapukaniu demon uruchomi program start_polecenie, Poczekaj na
czas określony w cmd_timeout, następnie wykonaj stop_polecenie. Jest to przydatne
automatycznie zamykają drzwi za kołatką. Sekwencja pukania wykorzystuje oba UDP
i portów TCP.
[opcje]
plik dziennika = /var/log/knockd.log
[otwórz zamknijSSH]
sekwencja = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn, potwierdzenie
komenda_startu = /usr/sbin/iptables -A WEJŚCIE -s %IP% -p tcp --syn -j AKCEPTUJ
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D WEJŚCIE -s %IP% -p tcp --syn -j AKCEPTUJ
Przykład # 3:
Ten przykład nie używa pojedynczej, ustalonej sekwencji pukania do wyzwolenia zdarzenia, ale a
zestaw sekwencji pobranych z pliku sekwencji (sekwencje jednorazowe), określony przez
jednorazowe_sekwencje dyrektywa. Po każdym udanym puknięciu zastosowana sekwencja będzie działać
zostać unieważnione i następna sekwencja z pliku sekwencji musi zostać użyta do a
udane pukanie. Uniemożliwia to atakującemu wykonanie ataku powtórnego po
po wykryciu sekwencji (np. podczas wąchania sieci).
[opcje]
plik dziennika = /var/log/knockd.log
[otwórz zamknij SMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
komenda_startu = /usr/sbin/iptables -A WEJŚCIE -s %IP% -p tcp --dport 25 -j AKCEPTUJ
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D WEJŚCIE -s %IP% -p tcp --dport 25 -j AKCEPTUJ
Konfiguracja: GLOBAL DYREKTYWY
UseSyslog
Rejestruj komunikaty akcji za pomocą syslog(). Spowoduje to wstawienie wpisów dziennika do pliku
/var/log/messages lub odpowiednik.
Plik dziennika = /ścieżka/do/pliku
Rejestruj działania bezpośrednio w pliku, zazwyczaj /var/log/knockd.log.
Plik Pid = /ścieżka/do/pliku
Plik Pid używany w trybie demona, domyślnie: /var/run/knockd.pid.
Interfejs =
Interfejs sieciowy do słuchania. Należy podać tylko jego nazwę, a nie ścieżkę do
urządzenie (np. „eth0”, a nie „/dev/eth0”). Domyślnie: eth0.
Konfiguracja: PUK/ZDARZENIE DYREKTYWY
Sekwencja = [: ][, [: ] ...]
Określ kolejność portów w specjalnym pukaniu. Jeśli zły port z tym samym
flagi są odbierane, puk jest odrzucany. Opcjonalnie możesz zdefiniować protokół
do użycia dla poszczególnych portów (domyślnie jest to TCP).
Jedno_razowe_sekwencje = /ścieżka/do/jednorazowego_pliku_sekwencyjnego
Plik zawierający sekwencje jednorazowe, które mają być użyte. Zamiast używać stałego
sekwencję, knockd odczyta z tego pliku sekwencję, która ma być użyta. Po każdym
udanej próbie pukania ta sekwencja zostanie wyłączona poprzez wpisanie znaku „#”.
na pierwszej pozycji wiersza zawierającego zastosowaną sekwencję. Ta użyta sekwencja
zostanie następnie zastąpiony następną prawidłową sekwencją z pliku.
Ponieważ pierwszy znak jest zastępowany znakiem „#”, zaleca się opuszczenie tego miejsca
spacja na początku każdego wiersza. W przeciwnym razie pierwsza cyfra w pukaniu
sekwencja zostanie nadpisana znakiem „#” po jej użyciu.
Każda linia w pliku sekwencji jednorazowych zawiera dokładnie jedną sekwencję i ma
ten sam format, co dla Sekwencja dyrektywa. Linie zaczynające się od „#”
znak zostanie zignorowany.
Note: Nie edytuj pliku podczas działania programu knockd!
Seq_Timeout =
Czas oczekiwania na zakończenie sekwencji w sekundach. Jeśli czas upłynie przed
pukanie jest zakończone, jest odrzucane.
Flagi TCP = fin|syn|pierwszy|psh|potwierdzenie|pilne
Zwracaj uwagę tylko na pakiety, które mają ustawioną tę flagę. Używając flag TCP,
knockd IGNORUJE pakiety tcp, które nie pasują do flag. To jest inne niż
normalne zachowanie, gdzie błędny pakiet unieważniłby całe uderzenie,
zmuszanie klienta do rozpoczęcia od nowa. Używanie „TCPFlags = syn” jest przydatne, jeśli tak
testowanie przez połączenie SSH, ponieważ ruch SSH zwykle będzie zakłócał (i
w ten sposób unieważnić) pukanie.
Oddziel poszczególne flagi przecinkami (np. TCPFlags = syn,ack,urg). Flagi mogą być
wyraźnie wykluczone przez „!” (np. TCPFlags = syn,!ack).
Start_Polecenie =
Określ polecenie, które ma zostać wykonane, gdy klient wykona prawidłowe pukanie do portu. Wszystko
przypadki %IP% zostanie zastąpiony adresem IP kołatki. The Command
dyrektywa jest aliasem dla Start_Polecenie.
Cmd_Timeout =
Czas oczekiwania między Start_Polecenie i Zatrzymaj_Polecenie w sekundy. Ta dyrektywa jest
opcjonalne, wymagane tylko wtedy, gdy Zatrzymaj_Polecenie Jest używane.
Zatrzymaj_Polecenie =
Określ polecenie, które ma zostać wykonane, kiedy Cmd_Timeout od tego czasu minęły sekundy
Start_Polecenie został wykonany. Wszystkie wystąpienia %IP% zostanie zastąpiony przez
adres IP pukacza. Ta dyrektywa jest opcjonalna.
BEZPIECZEŃSTWO UWAGI
Korzystanie z -l or --spojrzeć w górę opcją wiersza polecenia do rozpoznawania nazw DNS dla wpisów dziennika może być a
zagrożenie dla bezpieczeństwa! Atakujący może znaleźć pierwszy port sekwencji, jeśli może go monitorować
ruch DNS hosta z uruchomionym knockd. Również host ma być stealth (np.
upuszczanie pakietów do zamkniętych portów TCP zamiast odpowiadania pakietem ACK+RST).
się, rozwiązując nazwę DNS, jeśli atakującemu uda się trafić na pierwszy (nieznany) port
sekwencji.
Korzystaj z knockd online, korzystając z usług onworks.net
