用Portspoof欺骗扫描Port的***者

Portspoof程序旨在通过在原本封闭的端口上模拟仿真合法的服务签名,加强操作系统的安全性。它本来就是一个轻便、快速、便携、安全的附件,可以添加到任何防火墙系统或安全基础设施上。

这款程序的基本目的就是,让端口扫描软件(Nmap/Unicornscan/等)进程运行缓慢,让输出结果非常难以解读,从而使***侦察阶段成为一项难度大又麻烦的任务。

我发觉这个小程序背后的概念很有意思:不是用防火墙堵住所有端口,而是欺骗真实端口,因而让针对你的服务器/计算机运行端口扫描的那些家伙无功而返。

Portspoof程序的主要目的是,通过***者对你系统进行侦察的过程中减缓***者***速度,并阻止***者保持低调的一系列技巧,加强操作系统的安全性。

默认情况下,***者的侦察阶段应该很费时,而且很容易被你的***检测系统所发现。

主动(进攻性)防御的艺术

Portspoof还可以用作”漏洞框架前端”(Exploitation Framework Frontend),这可以将你的系统变成一台反应迅即、具有***性的机器。实际上,这意味着你的服务器能够自动利用***者的工具和漏洞。这种方法纯粹基于主动(进攻性)防御理念。

一、特点

  • 快速:多线程(默认情况下10个线程处理新的入站连接)。

  • 轻便:所需的系统资源数量极少。

  • 便携:可以在Linux和BSD(直到版本0.3)上运行。

  • 灵活:你可以轻松使用防火墙规则,定义将被欺骗的端口。

  • 对付流行的端口扫描工具很有效。

  • 超过8000多个假签名可以骗倒端口扫描工具。

  • 采用开源技术。

二、安装

Portspoof是一款免费的软件,采用GNU GPL版本2许可证发行,它并不以任何软件库中程序包的方式出现,或者至少我还没有发现这种方式,所以想安装它,你就得从官方网站下载zip文件(https://github.com/drk1wi/portspoof/archive/master.zip),或者从Github(https://github.com/drk1wi/portspoof)克隆源软件库,然后遵循下面这些简单的操作步骤:

1.编译软件,进入到你解压缩/放置源文件的目录,然后运行这些命令:

$ wget https://github.com/drk1wi/portspoof/archive/master.zip -O master.zip$ unzip master.zip$ cd portspoof-master$ ./configure$ make$ make install

2.配置防火墙规则(portspoof预设端口为4444)

$ iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:65535 -j REDIRECT --to-ports 4444

注意:Portspoof默认情况下会侦听所有网络接口的tcp4444端口。这条防火墙规则会导致服务骗过端口1至端口65535。如果你想访问合法服务,就得将这些服务的端口排除在REDIRECT语句之外!

  • 如需开放22端口

方法一

$ iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp ! --dport  22 -j REDIRECT --to-ports 4444

方法二

#开放系統服务端口$ iptables -t nat -A PREROUTING -p tcp -m multiport --dports 22,25,993,995 -j ACCEPT
#其它所有端口转向portspoof的4444端口$ iptables -t nat -A PREROUTING -p tcp --dport 1:65535 -j REDIRECT --to-ports 4444

注: 当封包走向系统真实服务的端口(tcp 22,25,993,995)符合第一条規則, 可被系统正常接受处理; 走向其他端口则会被转向到tcp 4444 端口由portspoof处理。

  • 安装包带了一个配置的例子,可以参考下

$ cat portspoof-master/system_files/iptables-config

# Generated by iptables-save v1.4.4 on Tue Apr 23 14:26:41 2013
*nat
:PREROUTING ACCEPT [5992:539002]
:INPUT ACCEPT [347451:16935290]
:OUTPUT ACCEPT [477:45868]
:POSTROUTING ACCEPT [0:0]
# Portspoof everything except the sshd service
# Remember to change the iface name
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1:21 -j REDIRECT --to-ports 4444
-A PREROUTING -i eth0 -p tcp -m tcp --dport 23:65535 -j REDIRECT --to-ports 4444
COMMIT
# Completed on Tue Apr 23 14:26:42 2013
# Generated by iptables-save v1.4.4 on Tue Apr 23 14:26:42 2013
*filter
:INPUT ACCEPT [1931192:104113948]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1606583:151106362]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Tue Apr 23 14:26:42 2013

三、运行Portspoof

  • 后台方式运行(默认输出日志在/var/log/messages)

    $ portspoof -D
  • 自定义日志路径

    $ portspoof -s /usr/local/etc/portspoof_signatures -c /usr/local/etc/portspoof.conf -l /var/log/portspoof.log

    注:自定义日志路径不能在后台运行,加了-D参数后,测试portspoof进程会自动退出。

四、将portspoof添加到你系统的启动脚本

安装包里提供了两个的init.d管理脚本,你可以在system_files目录中找到这个脚本。你可根据自己情况复制到/etc/init.d目录下,使用很简单,这里就不详述了。

$ ls portspoof-master/system_files/init.d/portspoof
portspoof.sh  portspoof_simple.sh

$ cp portspoof.sh /etc/init.d/

五、测试

1.本地测试

$ nmap -sV -v 192.168.34.160

Starting Nmap 6.40 (http://nmap.org ) at 2014-05-07 11:47 CST
Nmap scan report for (192.168.34.160)
Host is up (0.00012s latency).
PORT      STATE SERVICE
1/tcp     open  tcpmux
3/tcp     open  compressnet
4/tcp     open  unknown
6/tcp     open  unknown
7/tcp     open  echo
9/tcp     open  discard
13/tcp    open  daytime
17/tcp    open  qotd
19/tcp    open  chargen
...
146/tcp   open  iso-tp0
161/tcp   open  snmp
163/tcp   open  cmip-man
179/tcp   open  bgp
199/tcp   open  smux
211/tcp   open  914c-g
212/tcp   open  anet
222/tcp   open  rsh-spx
254/tcp   open  unknown
...
61532/tcp open  unknown
61900/tcp open  unknown
62078/tcp open  iphone-sync
63331/tcp open  unknown
64623/tcp open  unknown
65389/tcp open  unknown
MAC Address: 00:E0:81:DB:0C:29 (Tyan Computer)

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds

2.在线演示

你想不想根本不用安装就能试一下Portspoof?

检查一下:针对portspoof.org地址,运行你常用的端口扫描工具,看看结果:nmap -sV -v portspoof.org。


上一篇:HTTP协议


下一篇:web复习-1