主页 / server / 问题 / 548821
Accepted
Jürgen Paul
Asked: 2013-10-27 02:00:17 +0800 CST

当我让 sshd 监听另一个端口时,如何伪造端口 22?

  • 772

我不想让可能的黑客通过端口扫描我的服务器,我只想假装 sshd 正在侦听端口 22 并记录尝试。这样做有意义吗?如果是,有哪些积极开发的工具/库可用。

security

4 个回答

  1. Best Answer

    您可以使用像KippoKojoney这样的 SSHD 蜜罐

    • 10

  2. 您也可以简单地记录所有使用 iptables 连接到端口 22 的尝试,即使该端口上没有任何东西在监听:

    $ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0
    • 10

  3. 回答“这样做有意义吗?”这个问题。我问:“你是安全研究员吗?” 如果您回答是,那么运行 ssh 蜜罐将是有意义的。

    如果您只是在运行生产服务并且您不关心失败的扫描,只需在具有其他身份验证机制(例如仅公钥,或需要 Yubikey 或类似设备)的不同端口上运行您的 sshd 并删除端口 22流量而不记录它。

    有暴力 ssh 蠕虫主动扫描 Internet,它们会整天探测您的 ssh 端口,如果您不打算查看防火墙日志或蜜罐中的数据,那么您所做的就是浪费磁盘空间。

    • 4

  4. 你想要一个蜜罐。

    示例:http ://code.google.com/p/kippo/

    • 3

相关问题