Portspoof程序旨在通过在原本封闭的端口上模拟仿真合法的服务签名,加强操作系统的安全性。它本来就是一个轻便、快速、便携、安全的附件,可以添加到任何防火墙系统或安全基础设施上。
这款程序的基本目的就是,让端口扫描软件(Nmap/Unicornscan/等)进程运行缓慢,让输出结果非常难以解读,从而使***侦察阶段成为一项难度大又麻烦的任务。
我发觉这个小程序背后的概念很有意思:不是用防火墙堵住所有端口,而是欺骗真实端口,因而让针对你的服务器/计算机运行端口扫描的那些家伙无功而返。
Portspoof程序的主要目的是,通过***者对你系统进行侦察的过程中减缓***者***速度,并阻止***者保持低调的一系列技巧,加强操作系统的安全性。
默认情况下,***者的侦察阶段应该很费时,而且很容易被你的***检测系统所发现。
主动(进攻性)防御的艺术
Portspoof还可以用作”漏洞框架前端”(Exploitation Framework Frontend),这可以将你的系统变成一台反应迅即、具有***性的机器。实际上,这意味着你的服务器能够自动利用***者的工具和漏洞。这种方法纯粹基于主动(进攻性)防御理念。
一、特点
快速:多线程(默认情况下10个线程处理新的入站连接)。
轻便:所需的系统资源数量极少。
便携:可以在Linux和BSD(直到版本0.3)上运行。
灵活:你可以轻松使用防火墙规则,定义将被欺骗的端口。
对付流行的端口扫描工具很有效。
超过8000多个假签名可以骗倒端口扫描工具。
采用开源技术。
二、安装
Portspoof是一款免费的软件,采用GNU GPL版本2许可证发行,它并不以任何软件库中程序包的方式出现,或者至少我还没有发现这种方式,所以想安装它,你就得从官方网站下载zip文件(https://github.com/drk1wi/portspoof/archive/master.zip),或者从Github(https://github.com/drk1wi/portspoof)克隆源软件库,然后遵循下面这些简单的操作步骤:
1.编译软件,进入到你解压缩/放置源文件的目录,然后运行这些命令:
$ wget https://github.com/drk1wi/portspoof/archive/master.zip -O master.zip$ unzip master.zip$ cd portspoof-master$ ./configure$ make$ make install
2.配置防火墙规则(portspoof预设端口为4444)
$ iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:65535 -j REDIRECT --to-ports 4444
注意:Portspoof默认情况下会侦听所有网络接口的tcp4444端口。这条防火墙规则会导致服务骗过端口1至端口65535。如果你想访问合法服务,就得将这些服务的端口排除在REDIRECT语句之外!
如需开放22端口
方法一
$ iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp ! --dport 22 -j REDIRECT --to-ports 4444
方法二
#开放系統服务端口$ iptables -t nat -A PREROUTING -p tcp -m multiport --dports 22,25,993,995 -j ACCEPT #其它所有端口转向portspoof的4444端口$ iptables -t nat -A PREROUTING -p tcp --dport 1:65535 -j REDIRECT --to-ports 4444
注: 当封包走向系统真实服务的端口(tcp 22,25,993,995)符合第一条規則, 可被系统正常接受处理; 走向其他端口则会被转向到tcp 4444 端口由portspoof处理。
安装包带了一个配置的例子,可以参考下
$ cat portspoof-master/system_files/iptables-config # Generated by iptables-save v1.4.4 on Tue Apr 23 14:26:41 2013 *nat :PREROUTING ACCEPT [5992:539002] :INPUT ACCEPT [347451:16935290] :OUTPUT ACCEPT [477:45868] :POSTROUTING ACCEPT [0:0] # Portspoof everything except the sshd service # Remember to change the iface name -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:21 -j REDIRECT --to-ports 4444 -A PREROUTING -i eth0 -p tcp -m tcp --dport 23:65535 -j REDIRECT --to-ports 4444 COMMIT # Completed on Tue Apr 23 14:26:42 2013 # Generated by iptables-save v1.4.4 on Tue Apr 23 14:26:42 2013 *filter :INPUT ACCEPT [1931192:104113948] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1606583:151106362] -A FORWARD -j ACCEPT COMMIT # Completed on Tue Apr 23 14:26:42 2013
三、运行Portspoof
-
后台方式运行(默认输出日志在/var/log/messages)
$ portspoof -D
-
自定义日志路径
$ portspoof -s /usr/local/etc/portspoof_signatures -c /usr/local/etc/portspoof.conf -l /var/log/portspoof.log
注:自定义日志路径不能在后台运行,加了-D参数后,测试portspoof进程会自动退出。
四、将portspoof添加到你系统的启动脚本
安装包里提供了两个的init.d管理脚本,你可以在system_files目录中找到这个脚本。你可根据自己情况复制到/etc/init.d目录下,使用很简单,这里就不详述了。
$ ls portspoof-master/system_files/init.d/portspoof portspoof.sh portspoof_simple.sh $ cp portspoof.sh /etc/init.d/
五、测试
1.本地测试
$ nmap -sV -v 192.168.34.160 Starting Nmap 6.40 (http://nmap.org ) at 2014-05-07 11:47 CST Nmap scan report for (192.168.34.160) Host is up (0.00012s latency). PORT STATE SERVICE 1/tcp open tcpmux 3/tcp open compressnet 4/tcp open unknown 6/tcp open unknown 7/tcp open echo 9/tcp open discard 13/tcp open daytime 17/tcp open qotd 19/tcp open chargen ... 146/tcp open iso-tp0 161/tcp open snmp 163/tcp open cmip-man 179/tcp open bgp 199/tcp open smux 211/tcp open 914c-g 212/tcp open anet 222/tcp open rsh-spx 254/tcp open unknown ... 61532/tcp open unknown 61900/tcp open unknown 62078/tcp open iphone-sync 63331/tcp open unknown 64623/tcp open unknown 65389/tcp open unknown MAC Address: 00:E0:81:DB:0C:29 (Tyan Computer) Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds
2.在线演示
你想不想根本不用安装就能试一下Portspoof?
检查一下:针对portspoof.org地址,运行你常用的端口扫描工具,看看结果:nmap -sV -v portspoof.org。