我有以下情况:
$$ = Background application
Hex# = Normal users
@@ = Attackers
$$目前,如果有人通过端口连接到80(例如:不是 Web 服务器),并发送"VERSION",$$将返回"Program XX v10.0.0"(示例)。
这样,攻击者就可以检测特定 IP 是否正在运行特定软件。我可以选择将端口更改为使用非通用端口,这样攻击者就无法盲目地port 443在 IP 范围扫描中连接到正在运行的 IP $$。
我还可以阻止 ping 以发出 IP 不存在的信号,但这仍然无法阻止攻击者尝试连接到每个单独的端口来识别正在运行的存在$$。
我的问题是,我实际上如何阻止任何试图将"VERSION"(示例)发送到的人$$?
答案1
有几种应用层防火墙能够根据有效负载/内容而不是 IP 和端口号来检测流量。我熟悉的两个防火墙是 SonicWall 和 PaloAlto 网络。您没有提到“免费”,所以...有两种解决方案完全可以满足您的要求。