Це команда knockd, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS.
ПРОГРАМА:
ІМ'Я
knockd - порт-стук сервера
СИНТАКСИС
стукав [параметри]
ОПИС
стукав це порт-стук сервер. Він прослуховує весь трафік на Ethernet (або PPP)
інтерфейс, шукає спеціальні послідовності "стукання" портів. Клієнт робить ці порти-
хітів, надсилаючи пакет TCP (або UDP) до порту на сервері. Цей порт не обов’язково відкритий
-- оскільки knockd прослуховує на рівні посилань, він бачить весь трафік, навіть якщо він призначений
для закритого порту. Коли сервер виявляє певну послідовність звернень до портів, він запускає a
команду, визначену в її конфігураційному файлі. Це можна використовувати для відкриття отворів у a
брандмауер для швидкого доступу.
КОМАНДНИЙ РЯДОК ВАРІАНТИ
-я, --інтерфейс
Вкажіть інтерфейс для прослуховування. За замовчуванням є eth0.
-d, --демон
Стань демоном. Зазвичай це потрібно для нормальної роботи, подібної до сервера.
-c, --config
Вкажіть альтернативне розташування для файлу конфігурації. За замовчуванням є /etc/knockd.conf.
-Д, --відлагоджувати
Вихідні повідомлення про налагодження.
-л, -- пошук
Пошук імен DNS для записів журналу. Це може бути загрозою безпеці! Див. розділ БЕЗПЕКА
ПРИМІТКИ.
-v, -багатослівний
Виводити докладні повідомлення про статус.
-V, -- версія
Відобразити версію.
-h, --допомога
Довідка щодо синтаксису.
КОНФІГУРАЦІЯ
knockd читає всі набори knock/event з файлу конфігурації. Кожен стук/подія починається з
маркер заголовка у формі [ім'я], Де ім'я це назва події, яка з’явиться
у журналі. Спеціальний маркер, [параметри], використовується для визначення глобальних опцій.
Приклад # 1:
У цьому прикладі використовуються два удари. Перший дозволить молотку отримати доступ до порту 22
(SSH), а другий закриє порт, коли молотка завершиться. Як ти можеш
дивіться, це може бути корисно, якщо ви запускаєте дуже обмежувальний (політика ЗАМИЛЮВАННЯ) брандмауер і
хотів би отримати доступ до нього непомітно.
[параметри]
файл журналу = /var/log/knockd.log
[openSSH]
послідовність = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
команда = /sbin/iptables -A INPUT -s %IP% -j ПРИЙНЯТИ
[закритиSSH]
послідовність = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
команда = /sbin/iptables -D INPUT -s %IP% -j ПРИЙНЯТИ
Приклад # 2:
У цьому прикладі використовується один стук для контролю доступу до порту 22 (SSH). Після
отримавши успішний стук, демон запустить start_command, зачекайте
час, зазначений у cmd_timeout, потім виконайте стоп_команда. Це корисно для
автоматично закривати двері за молотком. У послідовності стуку використовуються обидва протоколи UDP
і порти TCP.
[параметри]
файл журналу = /var/log/knockd.log
[відкритизакритиSSH]
послідовність = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ПРИЙНЯТИ
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j ПРИЙНЯТИ
Приклад # 3:
У цьому прикладі не використовується єдина фіксована послідовність ударів, щоб викликати подію, а
набір послідовностей, узятих з файлу послідовності (одноразові послідовності), заданий
одноразові_послідовності директива. Після кожного успішного стуку буде використана послідовність
буде визнано недійсним, і наступна послідовність з файлу послідовності має використовуватися для a
вдалий стук. Це запобігає зловмиснику від повторного відтворення
виявивши послідовність (наприклад, під час аналізу мережі).
[параметри]
файл журналу = /var/log/knockd.log
[відкритизакритиSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ПРИЙНЯТИ
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j ПРИЙНЯТИ
КОНФІГУРАЦІЯ: GLOBAL ДИРЕКТИВИ
UseSyslog
Записувати повідомлення про дії через syslog(). Це вставить записи журналу у ваш
/var/log/messages або еквівалент.
LogFile = /шлях/до/файлу
Записувати дії безпосередньо у файл, зазвичай /var/log/knockd.log.
PidFile = /шлях/до/файлу
Pidfile для використання в режимі демона, за замовчуванням: /var/run/knockd.pid.
інтерфейс =
Мережевий інтерфейс для прослуховування. Потрібно вказати лише його назву, а не шлях до
пристрій (наприклад, "eth0", а не "/dev/eth0"). За замовчуванням: eth0.
КОНФІГУРАЦІЯ: СТУК/ПОДІЯ ДИРЕКТИВИ
Послідовність = [: ][, [: ] ...]
Вкажіть послідовність портів у спеціальному стуку. Якщо неправильний порт з тим же
прапори отримано, стук відкидається. За бажанням можна визначити протокол
використовуватися для кожного порту (за замовчуванням – TCP).
Одноразові_послідовності = /path/to/one_time_sequences_file
Файл, що містить одноразові послідовності для використання. Замість використання фіксованого
послідовності, knockd прочитає послідовність, яка буде використана з цього файлу. Після кожного
успішна спроба стуку ця послідовність буде вимкнена шляхом введення символу '#'
у першій позиції рядка, що містить використану послідовність. Це використана послідовність
потім буде замінено наступною правильною послідовністю з файлу.
Оскільки перший символ замінено на '#', рекомендується вийти
пробіл на початку кожного рядка. Інакше перша цифра у вашому стуку
послідовність буде перезаписана символом '#' після її використання.
Кожен рядок у файлі одноразових послідовностей містить рівно одну послідовність і має
той самий формат, що й для Послідовність директива. Рядки, що починаються з "#"
символ буде проігноровано.
примітки: Не редагуйте файл під час роботи knockd!
Seq_Timeout =
Час очікування завершення послідовності в секундах. Якщо час минув до
стук завершено, його відкидають.
TCPFlags = fin|syn|rst|psh|ack|urg
Зверніть увагу лише на пакети, які мають цей прапорець. При використанні прапорів TCP,
knockd ігноруватиме пакети tcp, які не відповідають прапорцям. Це відрізняється від
нормальна поведінка, коли неправильний пакет зробить недійсним весь стук,
змушуючи клієнта почати все спочатку. Використання "TCPFlags = syn" корисно, якщо ви
тестування через з’єднання SSH, оскільки трафік SSH зазвичай заважає (і
таким чином визнати недійсним) стукіт.
Розділіть кілька прапорів комами (наприклад, TCPFlags = syn,ack,urg). Прапори можуть бути
явно виключається символом "!" (наприклад, TCPFlags = syn,!ack).
Пуск_Команда =
Вкажіть команду, яка буде виконана, коли клієнт робить правильний стук по порту. всі
екземпляри %IP% буде замінено на IP-адресу молотка. The Command
Директива є псевдонімом для Пуск_Команда.
Cmd_Timeout =
Час чекати між Пуск_Команда та Стоп_Команда за секунди. Ця директива є
необов’язковий, обов’язковий лише якщо Стоп_Команда використовується.
Стоп_Команда =
Вкажіть команду, яка буде виконана, коли Cmd_Timeout відтоді минуло секунд
Пуск_Команда було виконано. Всі випадки %IP% буде замінено на
IP-адреса молотка. Ця директива є факультативною.
БЕЗПЕКА ПРИМІТКИ
Використання -l or -- пошук Параметр командного рядка для визначення імен DNS для записів журналу може бути a
ризик безпеки! Зловмисник може дізнатися перший порт послідовності, якщо він може контролювати
трафік DNS хоста, який працює, knockd. Також хост має бути невидимим (наприклад,
перекидання пакетів до закритих портів TCP замість відповіді пакетом ACK+RST) може призвести до
самостійно відключається шляхом визначення імені DNS, якщо зловмиснику вдається вразити перший (невідомий) порт
послідовності.
Використовуйте knockd онлайн за допомогою служб onworks.net
