Portspoof: เทคนิคที่จำลองบริการที่ใช้งานได้บนพอร์ต TCP ทั้ง 65535 พอร์ต

 (github.com/drk1wi)
1 คะแนน โดย GN⁺ 2024-12-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

  • ภาพรวมของซอฟต์แวร์ Portspoof

    • Portspoof เป็นซอฟต์แวร์สำหรับเสริมความปลอดภัยของระบบปฏิบัติการ
    • เปิดพอร์ต TCP ทั้ง 65535 พอร์ตไว้ตลอดเวลา เพื่อให้ผู้โจมตีไม่สามารถตรวจสอบสถานะของพอร์ตได้
    • เมื่อตรวจสแกนพอร์ต จะรายงานว่าทุกพอร์ตอยู่ในสถานะ OPEN ทำให้การสแกนพอร์ตแบบลอบเร้นใช้การไม่ได้ผล
    • แต่ละพอร์ต TCP ที่เปิดอยู่จะสร้างแบนเนอร์ปลอมผ่านการจำลองบริการเพื่อหลอกสแกนเนอร์
    • ใช้ฐานข้อมูลลายเซ็นบริการแบบไดนามิกเพื่อตอบกลับ service probe ด้วยลายเซ็นที่ถูกต้อง
    • ทำให้ผู้โจมตีระบุหมายเลขพอร์ตจริงของระบบได้ยากขึ้น

  • ศิลปะแห่งการป้องกันการโจมตี

    • Portspoof สามารถนำเครื่องมือและเอ็กซ์พลอยต์ของผู้โจมตีมาใช้เพื่อเปลี่ยนระบบให้มีลักษณะเชิงรุกได้
    • ถูกออกแบบให้เป็นองค์ประกอบเสริมของระบบไฟร์วอลล์ที่มีน้ำหนักเบา รวดเร็ว พกพาสะดวก และปลอดภัย
    • ทำให้ขั้นตอนการลาดตระเวนของผู้โจมตีช้าลงและยุ่งยากขึ้น จึงช่วยเพิ่มความปลอดภัยของระบบ
    • เป็นซอฟต์แวร์ระดับผู้ใช้ จึงไม่ต้องใช้สิทธิ์ root
    • ต่อหนึ่งอินสแตนซ์ที่ทำงาน จะ bind กับพอร์ต TCP เพียงหนึ่งพอร์ตเท่านั้น
    • ปรับแต่งได้ง่ายผ่านกฎของ iptables
    • ใช้ CPU และหน่วยความจำต่ำ และรองรับมัลติเธรด
    • มีลายเซ็นบริการแบบไดนามิกมากกว่า 9000 รายการ เพื่อทำให้ซอฟต์แวร์สแกนของผู้โจมตีสับสน

  • ผู้เขียน

    • Piotr Duszyński (@drk1wi).

  • การใช้งานเชิงพาณิชย์

    • Portspoof ให้ใช้งานภายใต้ไลเซนส์เฉพาะ และหากใช้เชิงพาณิชย์จำเป็นต้องตกลงเรื่องไลเซนส์กับผู้เขียน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-12-26
ความคิดเห็นจาก Hacker News
  • พอร์ต 0 ถูกใช้เป็นโฮสต์บริการที่เข้าถึงได้ผ่านอินเทอร์เน็ตในบางระบบปฏิบัติการ
  • การตั้งค่าเริ่มต้นของ MariaDB ทำให้ฐานข้อมูลรอฟังอยู่ที่พอร์ต 0 ดังนั้นความพยายามปิดกั้นการเข้าถึงจากอินเทอร์เน็ตจึงไม่ได้ผลในหลายระบบ
  • มีความเห็นว่าความปลอดภัยคอมพิวเตอร์จะพัฒนาไปสู่ "การป้องกันเชิงรุก"
    • เปรียบเทียบความซับซ้อนและโครงสร้างหลายชั้นของระบบภูมิคุ้มกันกับความปลอดภัยของคอมพิวเตอร์และเครือข่าย
  • มีประสบการณ์เคยสร้างเว็บเพจที่สร้างอีเมลแบบสุ่มเพื่อป้องกันสแปมบอตที่ไล่เก็บอีเมล
  • ตั้งข้อสังเกตว่าเซิร์ฟเวอร์อาจถูกสำรวจโดยแฮกเกอร์หรือบอตมากขึ้น หรือมีทราฟฟิกเพิ่มขึ้น
    • สงสัยว่า script kiddie ส่วนใหญ่คงไม่กรอง honeypot ที่อาจเป็นไปได้ออก
  • ตั้งข้อสังเกตว่าอาจกลายเป็นตัวขยาย DoS ได้
    • ตั้งคำถามว่าถ้าส่งแพ็กเก็ต spoof ที่ถูกต้อง จะสามารถทำให้มีแพ็กเก็ตจำนวนมากถูกส่งกลับไปยังต้นทางเดิมได้หรือไม่
  • ตั้งข้อสงสัยเรื่องที่ผูกกับ TCP ได้เพียงหนึ่งพอร์ตต่อหนึ่งอินสแตนซ์ที่รันอยู่
    • ตั้งคำถามว่าจำเป็นต้องรัน 65535 อินสแตนซ์เพื่อครอบคลุมทุกพอร์ตหรือไม่
  • ชอบที่ไม่ได้ใช้คำว่า "honeypot"
    • แชร์ประสบการณ์ว่าเคยรับช่วงต่อ honeypot "ของจริง" มาก่อน และตกใจที่มีพอร์ตเปิดอยู่ 30 พอร์ต
  • เสนอว่าสามารถแบ่งงานโดยใช้ระบบจากหลาย IP เพื่อเร่งความเร็วในการสแกนพอร์ต
  • กล่าวถึงวิวัฒนาการตามธรรมชาติของแนวทางที่โฆษณาช่องโหว่ด้านความปลอดภัยและคงรายการบล็อกไว้ เพื่อป้อนกลับเป็นไฟร์วอลล์ให้ระบบจริง
  • เสนอว่าถ้าใช้สองเทคนิคนี้ร่วมกัน ผู้โจมตีจะระบุบริการจริงได้ยากขึ้น
    • ตั้งคำถามว่านี่คือการใช้ความคลุมเครือเพื่อความปลอดภัยหรือไม่
  • ระบุว่าหากจะทำขั้นตอนสอดแนมของระบบให้ครบถ้วน ต้องใช้เวลามากกว่า 8 ชั่วโมงและข้อมูล 200MB
    • ตั้งคำถามว่านี่คือการใช้ความคลุมเครือเพื่อความปลอดภัยหรือไม่
  • อาจไม่มีความรู้ด้านความมั่นคงปลอดภัยสารสนเทศมากพอ แต่ตั้งคำถามว่าระบบอาจดึงดูดความสนใจมากขึ้นเพราะมีอินสแตนซ์ Redis ที่เปิดเผยอยู่หรือไม่