นี่คือคำสั่ง knockd ที่สามารถเรียกใช้ในผู้ให้บริการโฮสติ้งฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
knockd - เซิร์ฟเวอร์พอร์ตเคาะ
เรื่องย่อ
เคาะ [ตัวเลือก]
DESCRIPTION
เคาะ คือ พอร์ตเคาะ เซิร์ฟเวอร์ รับฟังการรับส่งข้อมูลทั้งหมดบนอีเธอร์เน็ต (หรือ PPP)
อินเทอร์เฟซมองหาลำดับ "การเคาะ" พิเศษของ port-hits ลูกค้าทำพอร์ตเหล่านี้-
ฮิตโดยส่งแพ็กเก็ต TCP (หรือ UDP) ไปยังพอร์ตบนเซิร์ฟเวอร์ พอร์ตนี้ไม่จำเป็นต้องเปิด
-- เนื่องจาก knockd ฟังที่ระดับ link-layer จึงเห็นการรับส่งข้อมูลทั้งหมดแม้ว่าจะถูกกำหนดไว้แล้วก็ตาม
สำหรับพอร์ตปิด เมื่อเซิร์ฟเวอร์ตรวจพบลำดับเฉพาะของ port-hit มันรัน a
คำสั่งที่กำหนดไว้ในไฟล์การกำหนดค่า สามารถใช้เพื่อเปิดรูใน a
ไฟร์วอลล์เพื่อการเข้าถึงที่รวดเร็ว
บรรทัดคำสั่ง OPTIONS
-ผม, --อินเตอร์เฟซ
ระบุอินเทอร์เฟซเพื่อฟัง ค่าเริ่มต้นคือ eth0.
-NS, --ภูต
กลายเป็นภูต ซึ่งมักจะเป็นที่ต้องการสำหรับการทำงานเหมือนเซิร์ฟเวอร์ปกติ
-ค, --การกำหนดค่า
ระบุตำแหน่งอื่นสำหรับไฟล์ปรับแต่ง ค่าเริ่มต้นคือ /etc/knockd.conf.
-NS, --debug
เอาต์พุตข้อความการดีบัก
-l --ค้นหา
ค้นหาชื่อ DNS สำหรับรายการบันทึก นี่อาจเป็นความเสี่ยงด้านความปลอดภัย! ดูหัวข้อ การรักษาความปลอดภัย
หมายเหตุ.
-ใน, --รายละเอียด
เอาต์พุตข้อความสถานะรายละเอียด
-วี --รุ่น
แสดงรุ่น.
-ชม, --ช่วยด้วย
วิธีใช้ไวยากรณ์
การกำหนดค่า
knockd อ่านชุดการน็อค/เหตุการณ์ทั้งหมดจากไฟล์การกำหนดค่า เคาะ/เหตุการณ์แต่ละครั้งเริ่มต้นด้วย
เครื่องหมายหัวเรื่องในรูปแบบ [ชื่อ]ที่นี่มี ชื่อ เป็นชื่องานที่จะปรากฎ
ในบันทึก เครื่องหมายพิเศษ, [ตัวเลือก]ใช้เพื่อกำหนดตัวเลือกส่วนกลาง
ตัวอย่าง # 1:
ตัวอย่างนี้ใช้การเคาะสองครั้ง ครั้งแรกจะอนุญาตให้ผู้เคาะเข้าถึงพอร์ต 22
(SSH) และตัวที่สองจะปิดพอร์ตเมื่อเคาะเสร็จ เท่าที่ทำได้
ดูสิ สิ่งนี้อาจมีประโยชน์หากคุณเรียกใช้ไฟร์วอลล์ที่มีข้อจำกัด (นโยบาย DENY) และ
ต้องการเข้าถึงอย่างสุขุม
[ตัวเลือก]
ไฟล์บันทึก = /var/log/knockd.log
[OpenSSH]
ลำดับ = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
คำสั่ง = /sbin/iptables -A อินพุต -s %IP% -j ยอมรับ
[ปิดSSH]
ลำดับ = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
คำสั่ง = /sbin/iptables -D อินพุต -s %IP% -j ยอมรับ
ตัวอย่าง # 2:
ตัวอย่างนี้ใช้การเคาะครั้งเดียวเพื่อควบคุมการเข้าถึงพอร์ต 22 (SSH) หลังจาก
เมื่อได้รับการเคาะสำเร็จ ภูตจะเรียกใช้ start_commandรอ
เวลาที่ระบุใน cmd_timeoutจากนั้นดำเนินการ คำสั่ง stop_. สิ่งนี้มีประโยชน์ต่อ
ปิดประตูอัตโนมัติหลังคนเคาะประตู ลำดับการน็อคใช้ทั้งUDP
และพอร์ต TCP
[ตัวเลือก]
ไฟล์บันทึก = /var/log/knockd.log
[opencloseSSH]
ลำดับ = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = ซิน, แอค
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ยอมรับ
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D อินพุต -s %IP% -p tcp --syn -j ยอมรับ
ตัวอย่าง # 3:
ตัวอย่างนี้ไม่ได้ใช้ลำดับการเคาะตายตัวเพียงครั้งเดียวเพื่อทริกเกอร์เหตุการณ์ แต่ a
ชุดของลำดับที่นำมาจากไฟล์ลำดับ (ลำดับครั้งเดียว) ที่ระบุโดย
ครั้งเดียว_ลำดับ คำสั่ง หลังจากการเคาะสำเร็จแต่ละครั้ง ลำดับที่ใช้จะ
เป็นโมฆะและต้องใช้ลำดับถัดไปจากไฟล์ลำดับสำหรับ a
เคาะที่ประสบความสำเร็จ สิ่งนี้จะป้องกันไม่ให้ผู้โจมตีทำการโจมตีซ้ำหลังจาก
มีการค้นพบลำดับ (เช่น ขณะดมเครือข่าย)
[ตัวเลือก]
ไฟล์บันทึก = /var/log/knockd.log
[เปิดปิดSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = ฟิน!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ยอมรับ
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D อินพุต -s %IP% -p tcp --dport 25 -j ยอมรับ
การกำหนดค่า: ประสบการณ์ คำสั่ง
UseSyslog
บันทึกข้อความการดำเนินการผ่าน syslog() สิ่งนี้จะแทรกรายการบันทึกลงใน .ของคุณ
/var/log/messages หรือเทียบเท่า
ไฟล์บันทึก = /พาธ/ถึง/ไฟล์
บันทึกการดำเนินการโดยตรงไปยังไฟล์ โดยปกติคือ /var/log/knockd.log
พิดไฟล์ = /พาธ/ถึง/ไฟล์
Pidfile ที่จะใช้เมื่ออยู่ในโหมด daemon ค่าเริ่มต้น: /var/run/knockd.pid
อินเตอร์เฟซ =
อินเทอร์เฟซเครือข่ายเพื่อฟัง ต้องระบุชื่อเท่านั้นไม่ใช่เส้นทางสู่
อุปกรณ์ (เช่น "eth0" ไม่ใช่ "/dev/eth0") ค่าเริ่มต้น: eth0
การกำหนดค่า: เคาะ/เหตุการณ์ คำสั่ง
ลำดับ = [: ][, [: ] ... ]
ระบุลำดับของพอร์ตในการน็อคพิเศษ ถ้าผิดพอร์ตเหมือนกัน
ได้รับธงแล้วการเคาะจะถูกยกเลิก คุณสามารถเลือกกำหนดโปรโตคอล
เพื่อใช้แบบต่อพอร์ต (ค่าเริ่มต้นคือ TCP)
ครั้งเดียว_ลำดับ = /path/to/one_time_sequences_file
ไฟล์ที่มีลำดับการใช้ครั้งเดียว แทนที่จะใช้ค่าคงที่
ลำดับที่เคาะจะอ่านลำดับที่จะใช้จากไฟล์นั้น หลังจากที่แต่ละ
พยายามเคาะสำเร็จ ลำดับนี้จะถูกปิดใช้งานโดยการเขียนอักขระ '#'
ที่ตำแหน่งแรกของบรรทัดที่มีลำดับที่ใช้ ที่ใช้ลำดับ
จากนั้นจะถูกแทนที่ด้วยลำดับที่ถูกต้องถัดไปจากไฟล์
เนื่องจากอักขระตัวแรกถูกแทนที่ด้วย '#' เราขอแนะนำให้คุณปล่อย
ช่องว่างที่จุดเริ่มต้นของแต่ละบรรทัด มิฉะนั้นตัวเลขหลักแรกในการเคาะของคุณ
ลำดับจะถูกเขียนทับด้วย '#' หลังจากที่ถูกใช้ไปแล้ว
แต่ละบรรทัดในไฟล์ลำดับแบบครั้งเดียวมีหนึ่งลำดับเท่านั้นและมี
รูปแบบเดียวกับสำหรับ ลำดับ คำสั่ง บรรทัดที่ขึ้นต้นด้วย '#'
ตัวละครจะถูกละเว้น
หมายเหตุ: ห้ามแก้ไขไฟล์ขณะทำงาน knockd!
Seq_หมดเวลา =
เวลาที่ต้องรอให้ลำดับเสร็จสมบูรณ์ในไม่กี่วินาที หากเวลาล่วงเลยไปก่อน
เคาะเสร็จแล้วก็ทิ้ง
TCPFlags = ครีบ | syn | rst | psh | ack | urg
ให้ความสนใจเฉพาะกับแพ็กเก็ตที่มีการตั้งค่าสถานะนี้ เมื่อใช้แฟล็ก TCP
knockd จะไม่สนใจแพ็กเก็ต TCP ที่ไม่ตรงกับแฟล็ก มันต่างจาก
พฤติกรรมปกติที่แพ็กเก็ตที่ไม่ถูกต้องจะทำให้การเคาะทั้งหมดเป็นโมฆะ
บังคับให้ลูกค้าเริ่มต้นใหม่ การใช้ "TCPFlags = syn" จะมีประโยชน์หากคุณเป็น
ทดสอบผ่านการเชื่อมต่อ SSH เนื่องจากการรับส่งข้อมูล SSH มักจะรบกวน (และ
จึงเป็นโมฆะ) การเคาะ
แยกหลายแฟล็กด้วยเครื่องหมายจุลภาค (เช่น TCPFlags = syn,ack,urg) ธงสามารถ
ยกเว้นอย่างชัดเจนโดย "!" (เช่น TCPFlags = syn,!ack)
Start_คำสั่ง =
ระบุคำสั่งที่จะดำเนินการเมื่อไคลเอนต์ทำการเคาะพอร์ตที่ถูกต้อง ทั้งหมด
อินสแตนซ์ของ % IP% จะถูกแทนที่ด้วยที่อยู่ IP ของผู้เคาะ NS คำสั่ง
คำสั่งเป็นนามแฝงสำหรับ Start_คำสั่ง.
Cmd_หมดเวลา =
เวลารอระหว่าง Start_คำสั่ง และ Stop_คำสั่ง ในไม่กี่วินาที คำสั่งนี้คือ
ไม่จำเป็น จำเป็นก็ต่อเมื่อ Stop_คำสั่ง ถูกนำมาใช้.
Stop_คำสั่ง =
ระบุคำสั่งที่จะดำเนินการเมื่อ Cmd_หมดเวลา วินาทีผ่านไปตั้งแต่
Start_คำสั่ง ถูกประหารชีวิต ทุกกรณีของ % IP% จะถูกแทนที่ด้วย
ที่อยู่ IP ของผู้เคาะ คำสั่งนี้เป็นทางเลือก
การรักษาความปลอดภัย หมายเหตุ
การใช้ -l or --ค้นหา ตัวเลือกบรรทัดคำสั่งเพื่อแก้ไขชื่อ DNS สำหรับรายการบันทึกอาจเป็น
ความเสี่ยงด้านความปลอดภัย! ผู้โจมตีอาจพบพอร์ตแรกของซีเควนซ์หากเขาสามารถตรวจสอบได้
การรับส่งข้อมูล DNS ของโฮสต์ทำงานล้มเหลว โฮสต์ควรจะซ่อนตัวด้วย (เช่น
การทิ้งแพ็กเก็ตไปยังพอร์ต TCP ที่ปิดอยู่แทนที่จะตอบกลับด้วยแพ็กเก็ต ACK+RST) อาจให้
ตัวเองออกไปโดยการแก้ไขชื่อ DNS หากผู้โจมตีสามารถโจมตีพอร์ต (ไม่รู้จัก) แรกได้
ของลำดับ
ใช้ knockd ออนไลน์โดยใช้บริการ onworks.net
