نوشته‌شده در

حملات – سیاهههای مربوط به Port Knock پیشنهاد می کند که دستگاه آسیب دیده است؟

در دستگاه CentOS من، تمام پورت های من با قانون Iptables فیلتر می شوند: 

 DROP all - * 0.0.0.0/0 0.0.0.0/0

بنابراین از اینترنت، هر وقفه بندر.

تنها راه برای ssh به دستگاه، این است که دنباله Port Knock را به صورت زیر انجام دهید: 

 6 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 53853 recent: نام SET: طرف KNOCK1: منبع ماسک: 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 7 پیشوند "ssh port knocking 1"
7 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 6663 recent: CHECK seconds: 15 name: KNOCK1 side: mask source: 255.255.255.255 recent: نام SET: KNOCK2 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 2"
8xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 96563 recent: CHECK seconds: 15 name: KNOCK2 side: mask source: 255.255.255.255 recent: نام SET: KNOCK3 side: mask source : 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 3"
9xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 77799 recent: CHECK seconds: 15 name: KNOCK3 side: mask source: 255.255.255.255 recent: نام SET: KNOCK4 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 4"
10 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 12263 recent: CHECK seconds: 15 name: KNOCK4 side: mask source: 255.255.255.255 recent: SET name: OPEN_SESAME side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 5"
11 x x ACCEPT tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: مثال SSH REAL PORT وضعیت جدید، مربوط، ایجاد شده اخیر: CHECK ثانیه: 15 نام: OPEN_SESAME سمت: منبع ماسک: 255.255.255.255
12 x x ACCEPT همه - * * 0.0.0.0/0 0.0.0.0/0 دولت مرتبط، ایجاد شده

اکنون در سیاههها بررسی میشوند، هر بار من توالی بندر را تغییر میدهم، در logqlog log پیدا میکنم که یک تلاش برای آن پورت نمونه خاص دست کشیدن 1، دست کشیدن 2 … و غیره ساخته شده است. [19659002] kernel: ssh port knocking 1 IN = eth0 OUT = MAC = example MAC SRC = IP مهاجم همیشه همان DST = IP من LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 48 ID = xxxx DF PROTO = TCP SPT = منبع DPT = ** هر کدام از من انتخاب کنید ** پنجره = 29200 RES = 0x00 SYN

هیچ پله ای برای هر پورت دیگر و هیچ پروب دیگر وجود ندارد.

به نظر می رسد که هر زمان که من آن را تغییر دهم، مهاجم متوجه دنباله می شود.

از آنجا که هیچ گونه ورودی دیگر برای هر گونه تلاش دیگر وجود ندارد، و نظارت بر tcpdump نشان می دهد هیچ پروب انجام نمی شود، ایمن است فرض کنید مهاجم می داند دنباله ای به دلیل دستگاه آسیب دیده است و او می شود اطلاعات هر زمان من آن را تغییر دهید؟

نوشته‌شده در

فایروال ها – OSSEC-agent نظارت eth0 برای حملات شبکه – تشخیص پورت اسکن

این سایت از کوکی ها برای ارائه خدمات ما و نمایش آگهی های مرتبط و لیست های شغلی استفاده می کند.
با استفاده از سایت ما، شما تأیید میکنید که ما خط مشی کوکیها، خط مشی رازداری و شرایط خدمات ما را خوانده و درک کردهاید.
استفاده شما از محصولات و خدمات سرریز پشته، از جمله شبکه سرریز پشته، تحت این شرایط و ضوابط است.
                

نوشته‌شده در

شبکه – با استفاده از burp suite، چگونه می توانم از یک پورت localhost ترافیک را بگیرم، اما نه یکی دیگر

من یک webapp موجود در localhost: 12345 و سرویس دیگری که در 'localhost: 6789' در دسترس است. من می خواهم به ترافیک به / از webapp (12345) نظارت داشته باشم، اما به طور کلی تراکنش را به سرویس در 6789 منتقل می کنم.

هنگامی که من رنج می زنم و محدوده را به localhost تنظیم می کنم: 12345 و دوباره متوقف می شود، در 6789. چگونه می توانم فقط ترافیک را در پورت 12345 localhost بگیرم؟