nmapスキャンでポートが開いているように見えるようにする方法

Question 1

すでにネットワークのIPアドレスをスキャンしている人が利用できるLabreaがありますが、しばらくテストしていません。

labrea - 着信IP接続を試みるためのハニーポット

labreaは、指定されたIPアドレスブロックで未使用のIPアドレスの仮想マシンを作成します。 LaBreaはARP「所有者」の要求を聞いています。

特定のIPへのARP要求が「速度」設定（デフォルト：3秒）より長く応答しない場合、labreaはそのIPへのすべてのトラフィックを「偽」MACアドレスにルーティングするARP応答を作成します。 labreaはそのMACアドレスに送信されたTCP / IPトラフィックを検出し、生成されたSYN / ACKパケットですべてのSYNパケットに応答します。

Debian にインストールするには:

sudo apt-get install labrea

指定されたパブリックポートの一部で応答してアラートを提供する場合psad、私が覚えている限り、これはすべてのポートでリッスンするわけではありません。

しばらくテストしていませんが、いつでもハニーポットを実行できます。

それにもかかわらず、私の考えでは、使用されていないポートへのすべての接続を切断し、外部に公開されるサービスの数が少ないほど、攻撃経路も減らすことを好みます。

Answer

すでにネットワークのIPアドレスをスキャンしている人が利用できるLabreaがありますが、しばらくテストしていません。

labrea - 着信IP接続を試みるためのハニーポット

labreaは、指定されたIPアドレスブロックで未使用のIPアドレスの仮想マシンを作成します。 LaBreaはARP「所有者」の要求を聞いています。

特定のIPへのARP要求が「速度」設定（デフォルト：3秒）より長く応答しない場合、labreaはそのIPへのすべてのトラフィックを「偽」MACアドレスにルーティングするARP応答を作成します。 labreaはそのMACアドレスに送信されたTCP / IPトラフィックを検出し、生成されたSYN / ACKパケットですべてのSYNパケットに応答します。

Debian にインストールするには:

sudo apt-get install labrea

指定されたパブリックポートの一部で応答してアラートを提供する場合psad、私が覚えている限り、これはすべてのポートでリッスンするわけではありません。

しばらくテストしていませんが、いつでもハニーポットを実行できます。

それにもかかわらず、私の考えでは、使用されていないポートへのすべての接続を切断し、外部に公開されるサービスの数が少ないほど、攻撃経路も減らすことを好みます。

Question 2

iptablesLinux では ' を使用できます。socketiptablesポートがTCP使用中であることを確認するには、一致してください。結合するxtablesプラグイン~のTARPITTarget (また LaBrea の概念を使用しています) これはどんな外観でもオープンにすることができます。未使用 TCP自動ポートは、実際に開いているポートを通常どおりに動作させるようにします。UDP応答しないオープンポートと削除されたポートの間に大きな違いはないので、これについては話しません（デフォルトではudpのみが削除されます）。

ルール：

iptables -N openclosed
iptables -A openclosed -p tcp -m socket --nowildcard -j RETURN
iptables -A openclosed -p tcp -j TARPIT --honeypot
iptables -I INPUT -j openclosed

注：各接続は、netfilterで使用されるconntrackエントリを生成します。したがって、このソリューションを使用すると、大量のconntrackリソースを活用できます。システムが検査を受けるのではなく攻撃を受けている場合は、この点に注意してください。TARPITnetfilter なしで使用（使用）は可能ですが、可能かどうかはNOTRACK分からず、とにかく上記のように簡単ではありません。socketこの--honeypotオプションを追加すると、TARPITスキャン（データが送信されていない場合）が安くなり、ネットフィルタも安くなります。また、--nowildcardルーターの使用に適している場合と適していない場合があります（ただし、INPUTチェーンのローカル使用には問題ありません）。

Answer

iptablesLinux では ' を使用できます。socketiptablesポートがTCP使用中であることを確認するには、一致してください。結合するxtablesプラグイン~のTARPITTarget (また LaBrea の概念を使用しています) これはどんな外観でもオープンにすることができます。未使用 TCP自動ポートは、実際に開いているポートを通常どおりに動作させるようにします。UDP応答しないオープンポートと削除されたポートの間に大きな違いはないので、これについては話しません（デフォルトではudpのみが削除されます）。

ルール：

iptables -N openclosed
iptables -A openclosed -p tcp -m socket --nowildcard -j RETURN
iptables -A openclosed -p tcp -j TARPIT --honeypot
iptables -I INPUT -j openclosed

注：各接続は、netfilterで使用されるconntrackエントリを生成します。したがって、このソリューションを使用すると、大量のconntrackリソースを活用できます。システムが検査を受けるのではなく攻撃を受けている場合は、この点に注意してください。TARPITnetfilter なしで使用（使用）は可能ですが、可能かどうかはNOTRACK分からず、とにかく上記のように簡単ではありません。socketこの--honeypotオプションを追加すると、TARPITスキャン（データが送信されていない場合）が安くなり、ネットフィルタも安くなります。また、--nowildcardルーターの使用に適している場合と適していない場合があります（ただし、INPUTチェーンのローカル使用には問題ありません）。

nmapスキャンでポートが開いているように見えるようにする方法

答え1

答え2

関連情報