庄闲游戏

审查所有产品

基础网络
工业互联网清静
物联网清静
零信任
车联网清静
数据清静
信息手艺应用立异
云盘算与云清静
清静效劳与运营

界线清静

应用清静

清静治理

清静检测

端点清静

企业数通

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

界线清静

攻防演练

工业互联网清静靶场

清静检测

终端清静

工控主机卫士

清静治理

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

数据防走漏

隐私盘算

数据清静防护

数据清静治理

数据清静管控

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

界线清静

密码清静

应用清静

清静检测

数据清静

端点清静

工控清静

清静治理

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

清静云效劳

清静集成

清静集成效劳

清静运营

网络清静产品与效劳

网络清静包管产品与效劳

咨询包管类效劳

行业专项类效劳

红蓝对抗类效劳

新手艺测试类效劳

工业控制系统清静

热门产品

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

关于庄闲游戏

前往相识庄闲游戏

成为相助同伴

成为相助同伴

相助同伴能力中心

相助同伴能力中心

相助同伴系统

相助同伴系统

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

关于庄闲游戏

前往相识庄闲游戏

咨询与试用

售后效劳

清静通告

清静误差响应中心

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

关于庄闲游戏

关于庄闲游戏

前往相识庄闲游戏

关于庄闲游戏

品牌运动

新闻中心

新闻中心

诚聘英才

诚聘英才

联系庄闲游戏

联系庄闲游戏

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，，集成DeepSeek大模子，，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

清静云效劳

清静运营—检测与防护能力—通过Port Knocking隐藏SSH效劳器

在网络清静演练、攻击案例中，，，，，攻击方通过信息网络获取目的可用的信息，，，，，将各攻击点毗连汇成攻击面，，，，，攻击面越广意味着发明潜在误差的可能性越大，，，，，攻击乐成的概率也就越高。。。因此，，，，，通过清静计划最小化袒露面可以有用镌汰信息系统遭受入侵的概率。。。

新闻中心

清静运营—检测与防护能力—通过Port Knocking隐藏SSH效劳器

宣布时间：2022-10-28

浏览次数：2923

分享：

01 简介

在网络清静演练、攻击案例中，，，，，攻击方通过信息网络获取目的可用的信息，，，，，将各攻击点毗连汇成攻击面，，，，，攻击面越广意味着发明潜在误差的可能性越大，，，，，攻击乐成的概率也就越高。。。因此，，，，，通过清静计划最小化袒露面可以有用镌汰信息系统遭受入侵的概率。。。本文主要探讨攻击面收敛中通过Port Knocking手段隐藏SSH效劳器的要领，，，，，使公共网络上的攻击者更难发明该效劳器，，，，，抵达收敛袒露面，，，，，降低清静危害的目的。。。

02 更改默认 SSH 端口

隐藏 SSH 效劳器的第一步是更改默认 SSH 端口。。。在本文演示案例中SHH端口号设置为60636，，，，，现实操作中可以使用恣意自界说端口号。。。翻开终端并使用以下下令通过 SSH 毗连到效劳器：

$ ssh -i path-to-identity-file username@SERVER_IP

在效劳器上使用vi终端中的下令或任何文本编辑器翻开 SSH 设置文件：

$ vi /etc/ssh/sshd_config

现在将默认端口22更新为60636。。。

操作完成后重新启动 SSH 效劳器守护程序，，，，，以便将更新应用于新的传入的所有SSH毗连。。。

$ systemctl restart sshd.service

SSH效劳器现在将接受并毗连端口60636，，，，，操作下令如下：

$ ssh -i path-to-identity-file username@SERVER_IP -p 60636

需要注重的是，，，，，若是该效劳器上设置了防火墙，，，，，还应该同步更新防火墙规则，，，，，允许端口上的 SSH 60636毗连，，，，，阻止SSH 22毗连。。。

03 使用knockd实现端口碰撞

端口碰撞是一种在一组预先指定的关闭端口上爆发毗连请求，，，，，从外部翻开防火墙上的端口的要领。。。一旦收到准确的毗连请求序列，，，，，防火墙规则就会被动态修改，，，，，允许发送毗连请求的主机通过特定端口举行毗连。。。端口碰撞的主要目的是避免攻击者通过端口扫描来扫描系统中潜在的可使用效劳，，，，，除非攻击者发送准确的碰撞序列，，，，，不然受保唬�；さ亩丝诮允疚乇�。。。

3.1 装置和设置 knockd

为了实现端口碰撞，，，，，首先要在Linux效劳器上装置knockd。。。运行以下下令举行装置：

$ sudo apt-get install knockd

接下来翻开knockd位于/etc/knockd.conf的设置文件：

在设置文件中相识一下默认设置值包括的信息：

●sequence是一组端口号，，，，，被视为碰撞序列。。。

●seq_timeout界说序列的有用期。。。

●command包括iptables添加规则以允许来自指定 IP 地点的传入 SSH 毗连的下令。。。仅当用户启动有用的碰撞序列时才会执行此下令。。。

●tcpflags界说碰撞毗连中要接受的 TCP 数据包类型。。。SYN在这种情形下分派了一个TCP类型的数据包。。。

[openSSH]块和[closeSSH]块之间的主要区别在于[closeSSH]块具有端口号的关闭序列和iptables删除插入[openSSH]块中的规则的下令。。。

下面是参考的最终设置文件。。。注重，，，，，由于默认值 ( 7000, 8000, 9000) 众所周知，，，，，以是现已将开放序列值更改为20001, 20002，，，，，20003。。。同样也更新了默认的关闭顺序。。。除此之外还将端口更改为22，，，，，60636，，，，，由于已经在上一步中将 SSH 端口更新为此值。。。另外注重，，，，，在该[openSSH]块中，，，，，iptables下令值从更改-A为-I，，，，，体现此iptables规则将打起源口并将成为第一个执行的规则。。。最后将超时值从5增添到10，，，，，由于 5 秒是在碰撞序列后连忙启动 SSH 毗连的一个小窗口。。。

完玉成部操作后生涯更改并退出文件。。。

3.2 设置 knockd 侦听特定网络接口

knockd监听的网络接口的名称需要指定。。。在这里使用ip addr下令来检查与效劳器关联的网络接口列表，，，，，并选择想要knockd监听的接口名称。。。

这种情形下，，，，，eth0是绑定到公共 IP 地点的接口。。。以是用这个接口来设置knockd。。。接下来，，，，，编辑knockd设置文件。。。

生涯更改并退出文件，，，，，连忙启动knockd效劳：

$ systemctl start knockd

启用knockd效劳，，，，，以便在下次启动效劳器时同步启动该效劳。。。

$ systemctl enable knockd

3.3 在防火墙上阻止端口 60636

为了实现60636动态翻开knockd端口的目的，，，，，默认情形下将阻止对该端口的会见，，，，，使用iptables下令来执行此操作。。。执行以下下令就不会破损目今的运动毗连：

$ sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

接下来执行下令，，，，，以默认iptables阻止端口上的所有传入 SSH 毗连60636：

$ sudo iptables -A INPUT -p tcp --dport 60636 -j REJECT

现在实验再次毗连到 SSH 效劳器，，，，，应该会收到“Connection refused”响应：

$ ssh -i path-to-identity-file username@SERVER_IP -p 60636ssh: connect to host SERVER_IP port 60636: Connection refused

Linux 效劳器现在设置了knockd，，，，，并且 SSH 端口将只开放给可以乐成泛起敲击序列的特定 IP。。。

04 毗连 SSH 效劳器

现在已经更改了默认的 SSH 端口，，，，，实现了只有提供准确的碰撞序列时才打起源口60636的功效，，，，，接下来测试一下。。。

由于已经设置knockd监听TCP SYN端口上的数据包20001，，，，，20002且20003作为碰撞序列，，，，，现在可以使用恣意允许启动到这些特定端口的 TCP 毗连工具，，，，，下面演示详细操作办法。。。

4.1 使用碰撞

首先，，，，，在客户端盘算机中装置knockd。。。

$ sudo apt-get install knockd

使用如下knock下令执行碰撞序列：

现在可以通过SSH会见毗连 Linux 效劳器：

$ ssh -i path-to-identity-file username@SERVER_IP -p 60636

...

完成 SSH 会见后可以启动关闭序列，，，，，如下所示：

$ knock -v SERVER_IP 20003 20002 20001 -d 500

可以审查knockd登录syslog浏览详细信息：

4.2 使用远程登录

使用以下下令启动敲击序列telnet：

收到“Connection refused”新闻并毗连失败，，，，，但没关系，，，，，由于该端口上禁用了 telnet，，，，，我们只想发送在 telnet 毗连时代发送的 TCP SYN 数据包。。。完成所有三个序列的 telnet 下令后即可通过 SSH 毗连到效劳器。。。

05 参考链接

https://goteleport.com/blog/ssh-port-knocking/

https://www.howtoing.com/how-to-use-port-knocking-to-hide-the-ssh-port-from-attackers-on-ubuntu

要害词标签：: 清静运营 检测与防护能力 网络清静演练 Port Knocking隐藏SSH效劳器

上一篇赋能工业升级！庄闲游戏入选《工控清静治理平台应用指南》代表厂商

下一篇助力数据清静领域顶层设计！庄闲游戏深度加入多项国家标准宣布

最新运动

能力认证庄闲游戏DeepSeek清静智算一体机首批通过工信领域能力认证

2025-02-28

连忙审查

新品宣布开箱即用！庄闲游戏宣布DeepSeek清静智算一体机

2025-02-11

连忙审查

推荐新闻

海淀“新春第一会”，，，，，庄闲游戏荣膺“海淀企业”称呼！

审查详情

庄闲游戏正式接入DeepSeek！强化大模子网络清静防护势在必行

审查详情

两会之声 | 人大代表李雪莹：强化清静系统，，，，，助力北京全球数字经济标杆都会建设

审查详情

庄闲游戏获评工信部CAPPVD三星手艺支持单位

审查详情

庄闲游戏李雪莹出任中关村科学城软件和信息效劳工业专委会党委书记、主任

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云效劳支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静效劳>

客户效劳热线

400-777-0777
7*24小时效劳

联系邮箱

servicing@topsec.com.cn

扫码关注

【网站地图】【sitemap】