Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen komuttur.
Program:
ADI
knockd - port-knock sunucusu
SİNOPSİS
çaldı [seçenekler]
TANIM
çaldı bir kapı çalma sunucu. Bir ethernet (veya PPP) üzerindeki tüm trafiği dinler
arayüz, bağlantı noktası vuruşlarının özel "vuruş" dizilerini arıyor. Bir istemci bu bağlantı noktalarını yapar-
sunucudaki bir bağlantı noktasına bir TCP (veya UDP) paketi göndererek isabetler. Bu bağlantı noktasının açık olması gerekmez
-- knockd bağlantı katmanı düzeyinde dinlediğinden, hedeflenmiş olsa bile tüm trafiği görür
Kapalı bir liman için. Sunucu belirli bir bağlantı noktası isabet sırası algıladığında, bir
yapılandırma dosyasında tanımlanan komut. Bu, delikler açmak için kullanılabilir.
hızlı erişim için güvenlik duvarı.
KOMUT SATIRI SEÇENEKLER
-ben, --arayüz
Dinlemek için bir arayüz belirtin. Varsayılan eth0.
-NS, --daemon
Bir daemon ol. Bu genellikle normal sunucu benzeri işlemler için istenir.
-C, --yapılandırma
Yapılandırma dosyası için alternatif bir konum belirtin. Varsayılan /etc/knockd.conf.
-NS, - hata ayıklama
Çıktı hata ayıklama mesajları.
-ben, --bakmak
Günlük girişleri için DNS adlarını arayın. Bu bir güvenlik riski olabilir! Bölüme bakın
NOTLAR.
-içinde, --ayrıntılı
Ayrıntılı durum mesajları çıktısı alın.
-V, --versiyon
Sürümü görüntüleyin.
-H, --yardım et
Sözdizimi yardımı.
YAPILANDIRMA
knockd, bir yapılandırma dosyasındaki tüm vuruntu/olay kümelerini okur. Her vuruş/olay
şeklinde bir başlık işaretçisi [isim], Burada isim görünecek etkinliğin adıdır
günlükte. Özel işaretleyici, [seçenekler], genel seçenekleri tanımlamak için kullanılır.
Örnek E-posta # 1:
Bu örnek iki vuruş kullanır. Birincisi, vurucunun 22 numaralı bağlantı noktasına erişmesine izin verecek
(SSH) ve ikincisi, tokmak tamamlandığında bağlantı noktasını kapatacaktır. yapabildiğin gibi
bakın, çok kısıtlayıcı (DENY ilkesi) bir güvenlik duvarı çalıştırırsanız bu yararlı olabilir ve
gizlice erişmek istiyorum.
[seçenekler]
günlük dosyası = /var/log/knockd.log
[openSSH]
dizi = 7000,8000,9000
sıra_zaman aşımı = 10
tcpflags = eş
komut = /sbin/iptables -A GİRDİ -s %IP% -j KABUL
[kapatSSH]
dizi = 9000,8000,7000
sıra_zaman aşımı = 10
tcpflags = eş
komut = /sbin/iptables -D GİRİŞ -s %IP% -j KABUL
Örnek E-posta # 2:
Bu örnek, 22 numaralı bağlantı noktasına (SSH) erişimi kontrol etmek için tek bir vuruş kullanır. Sonrasında
başarılı bir vuruş aldığında, arka plan programı çalıştıracak start_commandbekle
belirtilen süre cmd_timeout, ardından yürütün stop_command. Bu yararlıdır
kapıyı bir tokmağın arkasından otomatik olarak kapatın. Vuruntu dizisi hem UDP'yi kullanır
ve TCP bağlantı noktaları.
[seçenekler]
günlük dosyası = /var/log/knockd.log
[opencloseSSH]
sıra = 2222:udp,3333:tcp,4444:udp
sıra_zaman aşımı = 15
tcpflags = syn, ack
start_command = /usr/sbin/iptables -A GİRDİ -s %IP% -p tcp --syn -j KABUL
cmd_zaman aşımı = 5
stop_command = /usr/sbin/iptables -D GİRİŞ -s %IP% -p tcp --syn -j KABUL
Örnek E-posta # 3:
Bu örnek, bir olayı tetiklemek için tek bir sabit vuruş dizisi kullanmaz, ancak bir
tarafından belirtilen bir dizi dosyasından (tek seferlik diziler) alınan diziler kümesi.
one_time_sequences direktif. Her başarılı vuruştan sonra, kullanılan sıralama
geçersiz kılınmalı ve dizi dosyasındaki bir sonraki dizi, bir
başarılı vuruş Bu, bir saldırganın daha sonra bir tekrar saldırısı yapmasını önler.
bir dizi keşfettikten sonra (örneğin, ağı koklarken).
[seçenekler]
günlük dosyası = /var/log/knockd.log
[opencloseSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
sıra_zaman aşımı = 15
tcpflags = son,!ack
start_command = /usr/sbin/iptables -A GİRDİ -s %IP% -p tcp --dport 25 -j KABUL
cmd_zaman aşımı = 5
stop_command = /usr/sbin/iptables -D GİRİŞ -s %IP% -p tcp --dport 25 -j KABUL
YAPILANDIRMA: KÜRESEL YÖNERGELER
KullanımSyslog
Eylem mesajlarını syslog() aracılığıyla günlüğe kaydedin. Bu, günlük girişlerini
/var/log/messages veya eşdeğeri.
Log dosyası = /yol/to/dosya
Eylemleri doğrudan bir dosyaya kaydedin, genellikle /var/log/knockd.log.
PidDosyası = /yol/to/dosya
Daemon modundayken kullanılacak pid dosyası, varsayılan: /var/run/knockd.pid.
arayüzey =
Dinlemek için ağ arayüzü. Yolun değil, sadece adının verilmesi gerekir.
(örneğin, "eth0" ve "/dev/eth0" değil). Varsayılan: eth0.
YAPILANDIRMA: VURMA/OLAYI YÖNERGELER
Dizi = [: ][, [: ] ...]
Özel vuruştaki bağlantı noktalarının sırasını belirtin. Aynı ile yanlış bir bağlantı noktası varsa
bayraklar alınır, vuruş atılır. İsteğe bağlı olarak protokol tanımlayabilirsiniz.
bağlantı noktası bazında kullanılacaktır (varsayılan TCP'dir).
One_Time_Sequences = /yol/to/one_time_sequences_file
Kullanılacak tek seferlik dizileri içeren dosya. Sabit kullanmak yerine
dizisi, knockd o dosyadan kullanılacak diziyi okuyacaktır. Her birinden sonra
başarılı vuruş girişimi bu dizi bir '#' karakteri yazılarak devre dışı bırakılacak
kullanılan diziyi içeren satırın ilk konumunda. Kullanılan dizi
daha sonra dosyadan bir sonraki geçerli diziyle değiştirilecektir.
İlk karakter '#' ile değiştirildiğinden, bırakmanız önerilir.
her satırın başında bir boşluk. Aksi takdirde, vuruşunuzdaki ilk rakam
Kullanıldıktan sonra sıranın üzerine bir '#' yazılacaktır.
Tek seferlik diziler dosyasındaki her satır tam olarak bir dizi içerir ve
için olanla aynı format Dizi direktif. '#' ile başlayan satırlar
karakter yok sayılacaktır.
not: Knockd çalışırken dosyayı düzenlemeyin!
Seq_Zaman aşımı =
Bir dizinin saniyeler içinde tamamlanmasını bekleme zamanı. Zaman önce geçerse
vuruntu tamamlanır, atılır.
TCP İşaretleri = fin|syn|ilk|psh|ack|urg
Yalnızca bu bayrağın ayarlandığı paketlere dikkat edin. TCP bayraklarını kullanırken,
knockd, bayraklarla eşleşmeyen tcp paketlerini IGNORE yapacaktır. Bu farklı
yanlış bir paketin tüm vuruşu geçersiz kılacağı normal davranış,
müşteriyi baştan başlamaya zorlamak. "TCPFlags = syn" kullanmak, aşağıdaki durumlarda yararlıdır:
SSH trafiği genellikle müdahale edeceğinden (ve
böylece vuruşu geçersiz kılar.
Birden çok bayrağı virgülle ayırın (örneğin, TCPFlags = syn,ack,urg). Bayraklar olabilir
bir "!" ile açıkça hariç tutulmuştur. (örneğin, TCPFlags = syn,!ack).
Start_Command =
Bir istemci doğru bağlantı noktası vuruşunu yaptığında yürütülecek komutu belirtin. Tüm
örnekleri %IP% vurucunun IP adresi ile değiştirilecektir. NS Komuta
yönerge için bir takma addır Start_Command.
Cmd_Zaman aşımı =
Arada bekleme zamanı Start_Command ve Stop_Command saniyeler içinde. Bu direktif
isteğe bağlı, yalnızca gerekliyse Stop_Command kullanıldı.
Stop_Command =
Ne zaman yürütülecek komutu belirtin Cmd_Zaman aşımı beri saniyeler geçti
Start_Command idam edilmiştir. tüm örnekleri %IP% ile değiştirilecek
tokmağın IP adresi. Bu yönerge isteğe bağlıdır.
NOTLAR
Kullanma -l or --bakmak Günlük girişleri için DNS adlarını çözümlemek için komut satırı seçeneği bir
güvenlik riski! Saldırgan, izleyebilirse bir dizinin ilk bağlantı noktasını bulabilir.
çalışan ana bilgisayarın DNS trafiği knockd. Ayrıca bir ana bilgisayarın gizli olması gerekir (örn.
ACK+RST paketiyle yanıt vermek yerine paketleri kapalı TCP bağlantı noktalarına bırakmak)
bir saldırgan ilk (bilinmeyen) bağlantı noktasına ulaşmayı başarırsa, bir DNS adını çözerek kendisini ortadan kaldırır.
bir diziden.
onworks.net hizmetlerini kullanarak knockd çevrimiçi kullanın