Это команда knockd, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
knockd - портовый сервер
СИНТАКСИС
стук [опции]
ОПИСАНИЕ
стук - это портовый удар сервер. Он прослушивает весь трафик в сети Ethernet (или PPP).
интерфейс, ищет специальные "стук" последовательности обращений к портам. Клиент делает этот порт-
попадает, отправляя пакет TCP (или UDP) на порт на сервере. Этот порт не обязательно должен быть открыт
- поскольку knockd прослушивает на уровне канального уровня, он видит весь трафик, даже если он предназначен
для закрытого порта. Когда сервер обнаруживает определенную последовательность обращений к портам, он запускает
команда, определенная в ее файле конфигурации. Это можно использовать для открытия дыр в
брандмауэр для быстрого доступа.
КОМАНДНАЯ СТРОКА ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-я, --интерфейс
Укажите интерфейс для прослушивания. По умолчанию eth0.
-д, - демон
Станьте демоном. Обычно это желательно для нормальной работы сервера.
-с, --config
Укажите альтернативное расположение для файла конфигурации. По умолчанию /etc/knockd.conf.
-Д, --отлаживать
Выходные отладочные сообщения.
-л, --Погляди
Поиск DNS-имен для записей журнала. Это может быть угрозой безопасности! См. Раздел БЕЗОПАСНОСТЬ
ПРИМЕЧАНИЯ.
-в, --подробный
Выводить подробные сообщения о состоянии.
-В, --версия
Показать версию.
-час, --Помогите
Справка по синтаксису.
КОНФИГУРАЦИЯ
knockd читает все наборы детонаций / событий из файла конфигурации. Каждый стук / событие начинается с
маркер заголовка в форме [Имя], Где имя это название события, которое появится
в журнале. Специальный маркер, [опции], используется для определения глобальных параметров.
Пример # 1:
В этом примере используются два удара. Первый позволит молотку получить доступ к порту 22.
(SSH), а второй закроет порт, когда молоток будет завершен. Как вы можете
видите, это может быть полезно, если вы используете очень ограничивающий брандмауэр (ЗАПРЕЩАЕТ политику) и
хотел бы получить к нему доступ незаметно.
[опции]
файл журнала = /var/log/knockd.log
[открытьSSH]
последовательность = 7000,8000,9000
seq_timeout = 10
tcpflags = син
команда = / sbin / iptables -A ВВОД -s% IP% -j ПРИНЯТЬ
[закрытьSSH]
последовательность = 9000,8000,7000
seq_timeout = 10
tcpflags = син
команда = / sbin / iptables -D ВВОД -s% IP% -j ПРИНЯТЬ
Пример # 2:
В этом примере для управления доступом к порту 22 (SSH) используется однократный стук. После
получив успешный стук, демон запустит start_command, подождите
время, указанное в cmd_timeout, затем выполните стоп_команда. Это полезно для
автоматически закройте дверь молотком. Последовательность стука использует оба UDP
и TCP-порты.
[опции]
файл журнала = /var/log/knockd.log
[открытьзакрытьSSH]
последовательность = 2222: UDP, 3333: TCP, 4444: UDP
seq_timeout = 15
tcpflags = синхрон, подтверждение
start_command = / usr / sbin / iptables -A INPUT -s% IP% -p tcp --syn -j ПРИНЯТЬ
cmd_timeout = 5
команда stop_command = / usr / sbin / iptables -D INPUT -s% IP% -p tcp --syn -j ACCEPT
Пример # 3:
В этом примере для запуска события используется не единичная фиксированная последовательность стука, а
набор последовательностей, взятых из файла последовательности (одноразовые последовательности), заданный
one_time_sequences директива. После каждого удачного стука используемая последовательность будет
быть признанным недействительным, и следующая последовательность из файла последовательности должна использоваться для
удачный стук. Это не позволяет злоумышленнику выполнить повторную атаку после
обнаружив последовательность (например, при прослушивании сети).
[опции]
файл журнала = /var/log/knockd.log
[открытьзакрытьSMTP]
one_time_sequences = / etc / knockd / smtp_sequences
seq_timeout = 15
tcpflags = fin,! ack
start_command = / usr / sbin / iptables -A INPUT -s% IP% -p tcp --dport 25 -j ПРИНЯТЬ
cmd_timeout = 5
stop_command = / usr / sbin / iptables -D INPUT -s% IP% -p tcp --dport 25 -j ПРИНЯТЬ
КОНФИГУРАЦИЯ: GLOBAL ДИРЕКТИВЫ
использовать системный журнал
Записывать сообщения о действиях через syslog (). Это добавит записи журнала в ваш
/ var / log / messages или аналогичный.
Лог-файл = / путь / к / файлу
Записывать действия непосредственно в файл, обычно /var/log/knockd.log.
Пидфайл = / путь / к / файлу
Pidfile для использования в режиме демона, по умолчанию: /var/run/knockd.pid.
Интерфейс =
Сетевой интерфейс для прослушивания. Должно быть указано только его имя, а не путь к
устройство (например, "eth0", а не "/ dev / eth0"). По умолчанию: eth0.
КОНФИГУРАЦИЯ: СТУК / СОБЫТИЕ ДИРЕКТИВЫ
Последовательность = [: ] [, [: ] ...]
В специальном стуке укажите последовательность портов. Если неправильный порт с таким же
flags получен, стук сбрасывается. При желании вы можете определить протокол
будет использоваться для каждого порта (по умолчанию TCP).
Одноразовые_последовательности = / путь / к / один_время_последовательности_файла
Файл, содержащий одноразовые последовательности, которые будут использоваться. Вместо использования фиксированного
последовательность, knockd будет читать последовательность, которая будет использоваться из этого файла. После каждого
успешная попытка детонации эта последовательность будет отключена путем написания символа '#'
в первой позиции строки, содержащей использованную последовательность. Эта использованная последовательность
будет заменен следующей допустимой последовательностью из файла.
Поскольку первый символ заменяется на '#', рекомендуется оставить
пробел в начале каждой строки. В противном случае первая цифра в вашем стуке
После использования последовательность будет заменена знаком «#».
Каждая строка в файле одноразовых последовательностей содержит ровно одну последовательность и имеет
тот же формат, что и для Последовательность директива. Строки, начинающиеся с символа "#"
символ будет проигнорирован.
Внимание: Не редактируйте файл во время работы knockd!
Seq_Timeout =
Время ждать завершения последовательности в секундах. Если время истекает до
стук завершен, отбрасывается.
TCPфлаги = fin | syn | rst | psh | ack | urg
Обратите внимание только на пакеты, для которых установлен этот флаг. При использовании флагов TCP
knockd будет ИГНОРИРОВАТЬ tcp-пакеты, которые не соответствуют флагам. Это отличается от
нормальное поведение, когда неправильный пакет сделает недействительным весь стук,
заставляя клиента начинать заново. Использование "TCPFlags = syn" полезно, если вы
тестирование через SSH-соединение, поскольку SSH-трафик обычно мешает (и
таким образом аннулируют) стук.
Разделите несколько флагов запятыми (например, TCPFlags = syn, ack, urg). Флаги могут быть
явно исключен знаком "!" (например, TCPFlags = syn,! ack).
Старт_Команда =
Укажите команду, которая будет выполняться, когда клиент делает правильный выбор порта. Все
экземпляры % IP% будет заменен IP-адресом молотка. В Command
директива - это псевдоним для Старт_Команда.
Cmd_Timeout =
Время ждать между Старт_Команда и Стоп_Команда в секундах. Эта директива
необязательно, требуется только в том случае, если Стоп_Команда используется.
Стоп_Команда =
Укажите команду, которая будет выполняться, когда Cmd_Timeout секунд прошло с тех пор, как
Старт_Команда был казнен. Все экземпляры % IP% будет заменен на
IP-адрес молотка. Эта директива не обязательна.
БЕЗОПАСНОСТЬ ПРИМЕЧАНИЯ
Посмотрите на график -l or --Погляди параметр командной строки для разрешения имен DNS для записей журнала может быть
риск безопасности! Злоумышленник может узнать первый порт последовательности, если сможет контролировать
DNS-трафик хоста, на котором работает knockd. Также предполагается, что хост должен быть скрытным (например,
отбрасывание пакетов на закрытые TCP-порты вместо ответа пакетом ACK + RST) может дать
сам по себе, разрешая DNS-имя, если злоумышленнику удается поразить первый (неизвестный) порт
последовательности.
Используйте knockd онлайн с помощью сервисов onworks.net
