当我让 sshd 监听另一个端口时，如何伪造端口 22？

Question 1

你可以使用 SSHD 蜜罐，例如基普或者科乔内伊

Answer

你可以使用 SSHD 蜜罐，例如基普或者科乔内伊

Question 2

您还可以简单地使用 iptables 记录所有连接到端口 22 的尝试，即使没有任何内容在监听该端口：

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0

Answer

您还可以简单地使用 iptables 记录所有连接到端口 22 的尝试，即使没有任何内容在监听该端口：

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0

Question 3

为了回答“这样做有意义吗？”这个问题，我问：“你是安全研究员吗？”如果你回答是，那么运行 ssh 蜜罐就有意义了。

如果您只是在运行生产服务并且不关心扫描失败，只需在不同端口上运行 sshd 并使用附加身份验证机制（例如仅公钥，或者需要 Yubikey 或类似设备）并丢弃端口 22 流量而不记录它。

有一些暴力 ssh 蠕虫正在主动扫描互联网，并会整天探测您的 ssh 端口，如果您不打算查看防火墙日志或蜜罐中的数据，那么您所做的就是浪费磁盘空间。

Answer

为了回答“这样做有意义吗？”这个问题，我问：“你是安全研究员吗？”如果你回答是，那么运行 ssh 蜜罐就有意义了。

如果您只是在运行生产服务并且不关心扫描失败，只需在不同端口上运行 sshd 并使用附加身份验证机制（例如仅公钥，或者需要 Yubikey 或类似设备）并丢弃端口 22 流量而不记录它。

有一些暴力 ssh 蠕虫正在主动扫描互联网，并会整天探测您的 ssh 端口，如果您不打算查看防火墙日志或蜜罐中的数据，那么您所做的就是浪费磁盘空间。

Question 4

你想要一个蜜罐。

例子：http://code.google.com/p/kippo/

Answer

你想要一个蜜罐。

例子：http://code.google.com/p/kippo/

当我让 sshd 监听另一个端口时，如何伪造端口 22？

答案1

答案2

答案3

答案4

相关内容