Зміст:
Визначення - Що означає Port Knocking?
Зміна порту - це метод аутентифікації, який використовується мережевими адміністраторами. Він складається із визначеної послідовності спроб підключення закритого порту до конкретних IP-адрес, що називається послідовністю збивання. Методики використовують демон, який відстежує файли журналів брандмауера, шукаючи правильну послідовність запитів на з'єднання. Крім того, він, як правило, визначає, чи суб'єкт, що шукає вхід до порту, знаходиться у затвердженому списку IP-адрес.
Техопедія пояснює Port Knocking
Стукіт порту, навіть використовуючи просту послідовність, таку як "2000, 3000, 4000", потребує величезної кількості спроб грубої сили зовнішнього нападника. Без будь-якого попереднього знання послідовності, зловмисник повинен буде спробувати кожну комбінацію трьох портів від 1 до 65, 535, і після кожної спроби потрібно буде перевірити, чи не відкриваються якісь порти. Крім того, правильні три цифри повинні бути отримані в порядку, без інших пакетів даних, отриманих між ними. Для такої спроби грубої сили знадобиться приблизно 9, 2 квінтільйонних пакетів даних, щоб успішно відкрити простий, єдиний трипортовий стук. Більше того, спроба стає ще більш складною, коли криптографічні хеші (метод створення одноразових ключів) або більш довгі і складні послідовності використовуються як частина стукання порту.
Насправді, якби кілька законних спроб з різних IP-адрес відкривали та закривали порти, одночасні зловмисні зловмисники будуть зірвані. І якби спроба грубої спроби була успішною, необхідно також узгодити механізми безпеки порту та автентифікацію сервісу. Крім того, будь-який зловмисник не може виявити, що демон працює (тобто порт видається закритим), поки вони успішно не відкриють порт.
Є кілька недоліків. Системи з’єднання портів дуже залежать від того, що демон працює належним чином, і якщо він не працює, з'єднання з портами неможливо. Таким чином, демон створює єдину точку невдачі. Зловмисник також може заблокувати будь-які відомі IP-адреси, надсилаючи пакети даних з фальшивими (тобто підробленими) IP-адресами до випадкових портів, а IP-адреси неможливо легко змінити. (Це можна вирішити за допомогою криптографічних хешей.) Нарешті, існує можливість законних запитів на відкриття порту, які можуть включати пакети маршрутів TCP / IP поза порядком; або деякі пакети можуть бути скинуті. Це вимагає відправника повторного відправлення пакетів.
