当我让 sshd 监听另一个端口时,如何伪造端口 22?

当我让 sshd 监听另一个端口时,如何伪造端口 22?

我不想让可能的黑客扫描我的服务器端口,我只想假装 sshd 正在监听端口 22 并记录尝试。这样做有意义吗?如果有意义,有哪些积极开发的工具/库可用。

答案1

你可以使用 SSHD 蜜罐,例如基普或者科乔内伊

答案2

您还可以简单地使用 iptables 记录所有连接到端口 22 的尝试,即使没有任何内容在监听该端口:

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0 

答案3

为了回答“这样做有意义吗?”这个问题,我问:“你是安全研究员吗?”如果你回答是,那么运行 ssh 蜜罐就有意义了。

如果您只是在运行生产服务并且不关心扫描失败,只需在不同端口上运行 sshd 并使用附加身份验证机制(例如仅公钥,或者需要 Yubikey 或类似设备)并丢弃端口 22 流量而不记录它。

有一些暴力 ssh 蠕虫正在主动扫描互联网,并会整天探测您的 ssh 端口,如果您不打算查看防火墙日志或蜜罐中的数据,那么您所做的就是浪费磁盘空间。

答案4

你想要一个蜜罐。

例子:http://code.google.com/p/kippo/

相关内容